Khảo sát và phân tích các lỗi logic thường gặp trên các
thiết bị Router
Việc cài đặt mạng lưới router và switch không an toàn là một rủi ro bảo mật
thường bị bỏ qua, mà nếu không không ai để ý đến, có thể có nhiều hậu quả đáng
tiếc xảy ra. Biện pháp an ninh chỉ dựa trên các phần mềm không thể ngăn chặn
được hết hoặc thậm chí có những thiệt hại về mạng liên quan đến việc cài đặt
không cẩn thận. Chúng ta sẽ thảo luận về cách để xác định và khắc phục việc cài
đặt không an toàn.
4.1.1 Đánh giá sự rủi ro trong quá trình cài đặt.

Trước khi thảo luận làm thế nào để bảo mật việc cài đặt router và switch,
quan trọng hơn là phân biệt được sự khác biệt giữa các thiết bị rủi ro thấp (low risk
devices) và rủi ro cao (high risk devices):
- Low risk devices: Các thiết bị này điển hình là rẻ nhất hoặc dưới một hệ thống
mạng kích thước nhỏ như small office/home office (SOHO), chẳng hạn như router
Cisco series 800/900/1700 và switch cisco được sử dụng trong môi trường nơi mà
cho phép 10 thiết bị cùng dây cáp kết nối truy cập không có nguy cơ cao như mạng
công ty. Việc cài và lắp đặt này không được áp dụng và thậm chí là quá tốn kém vì
1


phải cung cấp nhiều thiết bị an ninh cùng cáp kết nối cho một mạng có kích thước
lớn như mạng doanh nghiệp. Trong những trường hợp này, người quản trị mạng
phải đưa ra quyết định hợp lý về hệ thống thiết bị mạng sao cho đảm bảo được độ
bảo mật.
- High risk devices: Các thiết bị này thường được tìm thấy trong các văn phòng lớn
hơn hoặc các cơ sở công ty nơi mà hàng chục, hàng trăm, hoặc thậm chí hàng ngàn
nhân viên làm việc, hoặc nơi mà có số lượng lớn nhân viên truy cập dữ liệu từ xa
của công ty. Các thiết bị thường được sử dụng như router, firewall và các hệ thống
quản lý để định tuyến và kiểm soát một lượng lớn dữ liệu và lưu lượng truy cập
video hay voice. Hệ thống mạng này thường có rủi ro bảo mật bởi các nhân viên

bất mãn hoặc bị ảnh hưởng bởi điều kiện môi trường tiêu cực.

4.1.2 Những mối đe dọa phổ biến trong quá trình cài đặt vật lý cho router và
switch.

Việc cài đặt không an toàn hay các mối đe dọa truy cập vật lý có thể được
phân loại như sau:

2


- Hardware threats: Là các mối đe dọa thiệt hại vật chất phần cứng của router hoặc
switch.
- Environmental threats: Là các mối đe dọa do nhiệt độ (quá nóng hay quá lạnh)
hoặc do độ ẩm (quá ướt hay quá khô).
- Electrical threats: Là các mối đe dọa như tăng giảm điện áp, điện áp cung cấp
không đầy đủ và tổng số tổn thất điện năng.
- Mainternance threats: Là các mối đe dọa do việc xử lý kém của các thành phần
điện tử chính (gây rò rỉ điện), thiếu phụ tùng quan trọng, dây cáp kém, lắp đặt kém,
….
4.1.3 Giảm thiểu những mối đe dọa do phần cứng.

Nhiệm vụ quan trọng của các thiết bị router và switch nên được đặt trong hệ
thống điện tử hoặc máy tính hoặc phòng viễn thông đáp ứng những yêu cầu tối
thiểu
sau
đây:
- Nhân viên được ủy quyền phải khóa phòng và chỉ có người có phận sự mới được
vào.
- Không nên để người khác có thể đột nhập vào phòng thông qua trần nhà, sàn nhà,

cửa sổ, đường ống, hoặc bất kì địa điểm nào khác.
3


- Nếu có thể, việc kiểm soát truy cập điện tử nên được khai thác tối đa khả năng
chống truy cập trái phép của hệ thống an ninh và được giám sát bởi các nhân viên
an ninh.
- Nếu có thể, nhân viên an ninh nên giám sát qua camera an ninh và tự động ghi
âm.
4.1.4 Giảm thiểu những mối đe dọa do môi trường.

Các quy tắc sau nên được áp dụng để hạn chế những mối đe dọa do môi
trường tới router và switch:
- Phòng phải được cung cấp hệ thống kiểm soát nhiệt độ và độ ẩm tốt. Luôn luôn
kiểm tra các thông số nhiệt độ môi trường trong phòng phù hợp theo yêu cầu tài
liệu sản phẩm được cung cấp.
- Nếu có thể, các thông số nhiệt độ môi trường này nên được theo dõi từ xa và có
chế độ báo động kịp thời.
- Phòng phải được đảm bảo sự nhiễu điện và từ trường.
4.1.5 Giảm thiểu những mối đe dọa do điện năng.
4


Những vấn đề liên quan đến điện năng có thể được hạn chế bằng cách tuân
thủ các quy tắc sau đây:
- Cài đặt các hệ thống điện năng hỗ trợ không bị gián đoạn (uninterrupted power
supply -UPS) cho những thiết bị router và switch quan trọng.
- Cài đặt các hệ thống máy phát điện dự phòng cho nguồn cung cấp quan trọng.
- Lên kế hoạch và khởi tạo UPS, thường xuyên kiểm tra máy phát điện và thực
hiện lịch trình bảo trì phòng ngừa dựa vào các yêu cầu của nhà sản xuất.

- Sử dụng nguồn lọc.
- Cài đặt các nguồn điện dự phòng trên các thiết bị quan trọng.
- Theo dõi và cảnh báo liên quan đến các thông số mức độ yêu cầu của thiết bị.
4.1.6 Giảm thiểu những mối đe dọa liên quan đến bảo trì.

5


Các mối đe dọa liên quan đến bảo trì là một hạng mục rộng lớn bao gồm
nhiều quy tắc. Các quy tắc chung sau đây cần được tuân thủ để ngăn chặn các mối
đe dọa:
- Tất cả các loại cáp nên được dán nhãn rõ ràng và trang bị các thiết bị giá đỡ để
ngăn chặn thiệt hại ngẫu nhiên hoặc bị ngắt kết nối đột ngột.
- Chạy dây cáp, ống bảo vệ dây cáp hoặc cả hai cùng được sử dụng để đi qua kết
nối rack-to-ceiling hoặc rack-to-rack.
- Luôn luôn tuân theo quy trình xả điện (electrostatic discharge -ESD) khi thay thế
hoặc làm việc với các thiết bị router và switch.
- Duy trì một kho chứa các phụ kiện thay thế quan trọng để sử dụng trong trường
hợp khẩn cấp.
- Không để một kết nối điều khiển và đăng nhập vào bất kỳ cổng console nào.
Luôn log off giao diện quản trị chính khi ra ngoài.
6


- Luôn luôn nhớ rằng, không có phòng nào là hoàn toàn an toàn và không nên chỉ
dựa vào lực lượng bảo vệ để đảm bảo an ninh cho thiết bị truy cập. Một khi kẻ xâm
nhập vào được bên trong phòng, sẽ không có biện pháp nào để ngăn chặn kết nối
vào terminal thông qua cổng console của router hoặc switch.
4.2 Khắc phục các sự cố của Router trên mô hình OSI.
Mỗi quản trị viên mạng đều sẽ gặp phải sự cố về các liên kết mạng trên

router. Cách tốt nhất để khắc phục bất kỳ sự cố nào về vấn đề kết nối mạng là sử
dụng mô hình OSI và kiểm soát lỗi từng tầng của mô hình này. Vậy làm thế nào để
sử dụng mô hình OSI khắc phục sự cố mạng? Để trả lời cho câu hỏi này, chúng tôi
sẽ giới thiệu về các phương pháp tiếp cận, xử lý sự cố khác nhau và làm thế nào để
sử dụng chúng để khắc phục sự cố mạng của bạn. Trong phần này, chúng ta sẽ tập
trung xử lý sự cố ở 2 tầng Data Link và Network.
4.2.1 Kiểm tra và khắc phục lỗi sự cố phần cứng của Router tại tầng 2 Data Link.
Ở đây ta chỉ quan tâm đến tầng Data Link và không bàn tới sự cố tại tầng
Physical là các cổng giao tiếp (interface) hay cáp kết nối. Những dòng giao thức
(line protocol) điển hình hoạt động tại tầng này như Ethernet, ATM, 802.11, PPP,
frame-replay, HDLC hay PPP.
Trước tiên, ta phải nắm được các thông số chi tiết của router bằng câu lệnh
show interface và show ip interface brief. Như ví dụ dưới đây của interface Gigabit
Ethernet 0/0 và Serial 0/3:

7


8


Dưới đây là những gì ta quân tâm:
- Interface có UP không?
- Line protocol có UP không?
- Nếu cả hai interface và line protocol đều NOT up thì kết nối sẽ không bao giờ
được thiết lập.
- Để xử lý một line protocol bị down, ta phải kiểm tra chắc chắn rằng các giao
thức phù hợp với mỗi bên của kết nối (thông báo line protocol ở mỗi interface
trên).
Nói chung, phải xác minh sự phù hợp của line protocol và các cài đặt

clocking là chính xác.
9


Nếu đây là một kết nối Ethernet, đó có phải là một đèn báo liên kết trên
switch
không?
Nếu đây là một kết nối serial, có phải bạn có một external CSU/DSU không?
Nếu nó là một external CSU, kiểm tra xem đèn Carrier Detect (CD) và đèn data
terminal (DTR) có sáng không. Nếu không, hãy liên hệ với nhà cung cấp. Điều này
cũng áp dụng nếu bạn có một card internal Cisco WIC CSU. Nếu đó là trường hợp
này, hãy xem thông tin tại liên kết trang chủ của nhà sản xuất để tìm hiểu rõ hơn về
đèn trên card đó.
Bạn có thể sử dụng lệnh Cisco IOS test để kiểm tra các network interface
của bạn với nhân viên nội bộ và với các nhà cung cấp dịch vụ viễn thông của bạn.
Không tiến hành các lớp cấp trên cho đến khi interface vật lý trên router của
bạn và line protocol của bạn cho thấy là UP. Cho đến lúc đó, ta chưa cần quan tâm
đến địa chỉ IP, ping, access list hoặc bất cứ điều gì như thế.

4.2.2 Kiểm tra và khắc phục lỗi sự cố phần cứng của Router tại tầng 3 Network:
Tại tầng này, cách dễ dàng nhất để xem lớp 3 có hoạt động là ping tới các
liên kết mạng LAN hoặc WAN từ router này. Hãy chắc chắn rằng bạn ping càng
chặt chẽ càng tốt để router của bạn có thể giao tiếp với thiết bị khác.
Sau đây là ví dụ 2 trường hợp ping thành công và ping thất bại:

10


Cách dễ nhất để kiểm tra tình trạng của lớp 3 là dung lệnh show ip interface
brief. Dưới đây là một ví dụ:


Hoặc có thể xem chi tiết về địa chỉ IP của từng interface mà bạn muốn bằng
câu lệnh show running-config như ví dụ dưới đây:

Tôi khuyên bạn nên cấu hình interface và so sánh chúng với nhau, với các
kết nối từ xa WAN phải đảm bảo chúng đều giống nhau. Hãy tự đặt cho mình
những câu hỏi như sau:
- Những interface này có trên cùng một IP network không ?
- Những interface này có cùng một subnet mask không ?
- Có bất kỳ access list (ACL) nào đang chặn lưu lượng truy cập của bạn không ?
- Bạn có thể loại bỏ tất cả các tùy chỉnh tính năng IP để đảm bảo rằng việc cấu hình
cơ bản hoạt động trước khi thêm các tính năng bổ sung khác mà có thể gây ra sự cố
không ?
Sau đây là một ví dụ, nhìn vào hai interface dưới đây. Vấn đề thực sự là gì
mà làm cho 2 router này không giao tiếp được với nhau ?
11


Router 1
interface Serial3/0 description Sprint T3 - TO ROUTER 2 bandwidth 9000 ip
address 10.2.100.2 255.255.255.252
Router 2
interface Serial3/0 description Sprint T3 - TO ROUTER 1 bandwidth 1500 ip
address 10.2.100.5 255.255.255.252
Đây không phải lỗi liên quan tới băng thông. Thông báo băng thông chỉ
được sử dụng như lời gợi ý và bằng các giao thức định tuyến để lựa chọn đường đi
tốt nhất. Vấn đề thực sự ở đây là interface serial thứ hai của router không có cùng
IP subnet như router 1. Mặc dù chúng có cùng một subnet, IP address 10.2.100.5
sẽ không bao giờ có thể để giao tiếp với các địa IP address 10.2.100.2 bởi vì chúng
đang ở trên các mạng khác nhau nhưng kết nối trực tiếp.

Hãy chắc rằng, bây giờ bạn có thể ping qua liên kết, từ một bên khác. Trong
khi, đó là một dấu hiệu tốt, không phải lúc nào tất cả mọi thứ được fixed. Bạn vẫn
không có khả năng giao tiếp từ một client trên mạng LAN của một router, với một
client trên mạng LAN của router khác, vì những thứ như cấu hình không đúng các
giao thức định tuyến IP.
Đối với một mạng LAN để giao tiếp với mạng LAN khác, thông qua router
(thường thông qua một mạng WAN), bạn phải cấu hình một trong hai kiểu: static
routes (định tuyến tĩnh) hoặc dynamic routes (định tuyến động). Để đảm bảo bạn
cấu hình định tuyến được cho mạng, bạn hãy thực hiện các câu lệnh sau để kiểm
tra:
Router# show ip routes
Router# show ip protocols
Đối với việc xử lý sự cố ở lớp 3, hãy nhìn vào hiển thị của câu lệnh như hình
sau:

12


4.3 Nghiên cứu xây dựng hướng dẫn một số điểm cần chú ý để cấu hình Router an
toàn, bao gồm:
4.3.1 Kiểm tra những thông tin bảo mật cơ bản của Router
Có rất nhiều lệnh show được dùng để kiểm tra nội dung các tập tin trên trên
router và để tìm ra sự cố.
Các lệnh
Show version
Show flash

Ý nghĩa
Xem tên file IOS, version của IOS đang sử dụng, cấu
hình phần cứng của router, các dịch vụ và các cổng

trên router
Xem file IOS đang lưu trong flash
13


Show interface {interface}
Show running-config
Show starup-config
Show clock
Show hosts
Show user
Show ip route
…….........

Xem cấu hình tất cả các cổng hay cổng được chỉ
định
Xem cấu hình chung đang sử dụng
Xem cấu hình chung dùng cho khởi động (lưu trong
NVRAM)
Xem đồng hồ (thời gian cấu hình)
Hiển thị danh sách tên và địa chỉ các host
Hiển thị tất cả các user đang kết nối vào router
Hiển thị bảng chọn đường của Router
…………………………………….

Tiếp theo là giới thiệu về bảo mật router bằng cách sử dụng các phương
pháp đã được chứng minh để cấu hình an toàn cho các thiết bị router và bảo vệ
giao diện quản trị của router.
4.3.1.1 Kết nối vào cổng console của router.
Ta sẽ mô tả làm thế nào để cấu hình quyền quản trị truy cập an toàn cho

router. Đây là bước vô cùng quan trọng trong việc thiết lập độ bảo mật cho router.
Nếu một người truy cập trái phép khống chế được quyền quản trị truy cập đến
router, người này có thể thay đổi các thông số định tuyến, vô hiệu hóa chức năng
định tuyến, hoặc phát hiện và truy cập các hệ thống khác trong mạng.

14


Cách để thực hiện bước đầu cấu hình là truy cập vào cổng console (giao diện
điều khiển) của router bằng dây console. Console là một thiết bị đầu cuối
(terminal) được kết nối với cổng console của router, nó cũng có thể là một thiết bị
cuối câm (dumb terminal) hoặc một PC chạy phần mềm mô phỏng thiết bị đầu
cuối. Console chỉ là một cách quản trị viên truy cập vào quyền quản trị để cấu hình
và quản lý router. Ngoài ra, để truy cập quyền quản trị còn có những cách như
Telnet, HTTP / HTTPS, SSH, Simple Network Management Protocol (SNMP), và
tính năng Security Device Manager (SDM).
Để có thể cấu hình được router bạn phải truy cập vào giao diện người dùng
của router bằng thiết bị đầu cuối hoặc bằng truy cập từ xa. Bạn phải nắm được các
mode làm việc của router, các mode này được thể hiện như hình sau:

Sau khi truy cập được vào router thì mới có thể nhập các lệnh cho router.
Mỗi chế độ có đặc điểm riêng, cung cấp một số tính năng xác định để cấu hình
router. Tuy nhiên vì lý do bảo mật nên router có 2 mức truy cập:
15


- Mức EXEC Mode (hay User mode: mức người dung): đây là mode bắt đầu một
phiên làm việc với router (qua console hay telnet). Ở mode này chỉ có một số câu
lệnh thông thường của router hay interface, một số câu lệnh dùng để xem trạng thái
của router như lệnh show hay clear. Ở mức này người sử dụng không thể thay đổi

được cấu hình của router.
- Priviledge EXEC Mode (Mode EXEC đặc quyền): Ở mode này cung cấp các lệnh
quan trọng để cấu hình router, cho phép cấu hình tất cả các chức năng hoạt động
của router.
4.3.1.2 Một số quy tắc tạo password.
Bước đầu tiên trong việc bảo mật quyền truy cập quản trị vào router là cấu
hình Password hệ thống. Những Password này cùng được chứa trong chính router
hoặc điều khiển máy chủ từ xa (AAA), chẳng hạn như thiết bị bảo mật Secure
Access Control Server (ACS).

Khi tạo Password cho router, luôn luôn tuân theo các quy tắc sau đây:
16


- Password phải có độ dài từ 1 đến 25 ký tự. Để bảo mật tốt hơn, bạn nên sử dụng
password tối thiểu có 10 ký tự hoặc nhiều hơn. Khi đặt Password phải bao gồm:
- Chữ số.
- Chữ in hoa, chữ in thường, hoặc cả hai.
- Password không thể có một chữ số là ký tự đầu tiên.
- Password không nên sử dụng từ điển.
- Bạn nên thay đổi password thường xuyên.
Bạn cũng có thể tự tạo ra quy tắc riêng cho mình để đặt password an toàn
hơn.
4.3.1.3 Hộp thoại cấu hình ban đầu.

Nếu bạn đang làm việc trên router mới (từ nhà sản xuất) hoặc một router vừa
được thiết lập lại (sử dụng các thủ thuật khôi phục password), bạn sẽ được nhắc
17



nhở bởi giao diện dòng lệnh (command line interface-CLI) nếu bạn muốn nhập vào
hộp thoại cấu hình ban đầu, như trong hình trên.
Trong câu hỏi đầu tiên của hộp thoại cấu hình ban đầu có thể được tìm thấy
một số yêu cầu password cho router:
- Password bảo mật (secret password) của router này sẽ được kích hoạt (enable) là
gì ?
- Password của router này sẽ được enable là gì ?
- Password sẽ được sử dụng để truy cập vào virtual terminal (Telnet) của router là
gì ?
Enable secret password được sử dụng để vào enable mode (đôi khi được gọi
là privileged mode hoặc privileged EXEC mode). Bạn có thể thiết lập enable secret
password bằng cách nhập một password trong hộp thoại cấu hình ban đầu (như
trong hình trên), hoặc bằng cách sử dụng lệnh enable secret trong configuration
mode. Việc enable secret password luôn luôn được mã hóa bên trong các cấu hình
router bằng cách sử dụng thuật toán mã hóa Message Digest 5 (MD5).
Enable password cũng được sử dụng để vào enable mode, nhưng theo mặc
định password này không được mã hóa trong cấu hình router. Tuy nhiên những
phiên bản router cũ chưa có hỗ trợ enable secret password nên enable password
vẫn được giữ lại mặc dù kém an toàn hơn.
Virtual terminal password là line-level password được nhập vào khi kết nối
với router bằng cách sử dụng Telnet. Bạn có thể thiết lập password trong hộp thoại
cấu hình ban đầu (như trong hình trên) hoặc bằng cách sử dụng lệnh password
trong vty line configuration mode.
4.3.1.4 Độ dài tối thiểu của password.

18


Với hệ điều hành Cisco IOS 12.3 hoặc lớn hơn cho phép các quản trị viên
thiết lập độ dài ký tự tối thiểu cho tất cả các password của router bằng cách sử

dụng secret password thông qua lệnh cấu hình như trong hình trên. Lệnh này cung
cấp truy cập tăng cường độ bảo mật cho các router bằng cách cho phép bạn chỉ
định một chiều dài password tối thiểu, loại bỏ password thông thường phổ biến
trên hầu hết các mạng chẳng hạn như phòng thí nghiệm và cisco. Lệnh này sẽ ảnh
hưởng đến user password, enable password , line password và độ bảo mật.
Cú pháp cho lệnh password bảo mật như sau:
security passwords min-length length
Chú ý: lenth sẽ được chọn trong khoảng 0-16 ký tự. Khuyến khích thiết lập độ dài
tối thiểu là 10 ký tự.
Sau khi lệnh này được kích hoạt, bất kỳ password nào được tạo có độ dài ký
tự ít hơn đều sẽ thất bại. Sẽ có một thông báo lỗi nếu thất bại trong việc tạo
password như trong hiển thị dưới đây:
19


% Password too short – must be at least 10 characters. Password configuration
failed.
4.3.1.5 Cấu hình kích hoạt password sử dụng enable secret.

Nếu bạn không sử dụng hộp thoại cấu hình ban đầu để cấu hình password
bảo mật, bạn phải sử dụng lệnh enable secret trong configuration mode. Câu lệnh
enable secret sử dụng một thuật toán mã hóa MD5 (lúc này password đã được mã
hóa như trong hình trên) và được xem là không thể phục hồi bởi hầu hết các
chuyên gia mã hóa.
Sử dụng câu lệnh enable secret trong configuration mode như trong hình
trên.
Cú pháp cho câu lệnh enable secret như sau:
enable secret password
Lưu ý: Nếu bạn quên secret password, không có lựa chọn nào khác là sử dụng thủ
tục phục hồi password của router.

20


4.3.1.6 Cấu hình password cho cổng console.

Theo mặc định, cổng console không được đặt password. Nhưng việc thiết
lập password này được sử dụng cho mục đích bảo trì chẳng hạn như khi chạy thủ
tục khôi phục mật khẩu router bằng BREAK để gián đoạn tiến trình khởi động
bình thường của router.
Để cấu hình password cho cổng console, ta thực hiện theo các bước sau:
Bước 1: vào configuration mode config-line:
Boston (config) # line console 0
Bước 2: Kích hoạt password bằng cách kiểm tra login:
Boston (config-line) # login
Bước 3: Nhập vào password cho cổng console, ví dụ là ConUserl ):
Boston (config-line)# password ConUserl
21


Nếu bạn muốn xem lại các bước vừa làm, bạn có thể dùng lệnh show
running-config sẽ được hiển thị như dưới đây:
line con 0
login
password ConUserl
Lưu ý: Nhận thấy password được hiển thị rõ ràng như trên là rất không an toàn. Để
tracnhs điều này bạn nên dung lệnh sau để mã hóa tất cả các password hiển thị trên
tập tin cấu hình của router:
Boston (config) #service password-encryption
4.3.1.7 Cấu hình password cho line VTY.


Router Cisco hỗ trợ nhiều phiên Telnet (có đến 5 phiên đồng thời có thể
được thêm vào) trên line VTY. Theo mặc định, router ban đầu không được cấu
22


hình password trên line VTY. Đồng nghĩa với việc không thể telnet vào router này
được. Lúc đó màn hình sẽ thông báo lỗi như sau nếu bạn cố gắng telnet vào:
Telnet 10.0.1.2
Trying...
Oonnected to 10.0.1.2
Escape character is '^]'
Password required, but none set
Connection closed by remote host.
Có hai cách để cấu hình password cho line VTY, cách đầu tiên là nhập mật
khẩu trong hộp thoại cấu hình ban đầu, cách thứ hai là sử dụng lệnh cấu hình
password trong config-line mode. Cách thứ hai thường được áp dụng nhiều hơn.
Trong ví dụ như hình trên, line VTY được cấu hình quy định 4 phiên đồng
thời 0-4. Cũng giống như line console, password được đặt cũng không được mã
hóa và có thể dễ dàng nhận biết.
Sau đây là một vài điều cần lưu ý để thực hiện kết nối an toàn khi telnet vào
router:
- Nếu bạn không thiết lập password trong line VTY của router, bạn sẽ không thể
truy cập vào privileged EXEC mode sử dụng telnet.
- Nên giới hạn truy cập telnet bằng cách xây dựng một danh sách truy cập điều
khiển (access control list-ACL) với các tiêu chí sau:
- Cho phép truy cập telnet từ các host cụ thể (có địa chỉ IP rõ ràng).
- Ngăn chặn truy cập telnet từ các host cụ thể không đáng tin cậy (có địa chỉ IP rõ
ràng).
- Bằng cách sử dụng lệnh access-class để thiết lập quan hệ giữa ACL và line VTY.
Sau đây là một ví dụ cho thấy ACL 30 hạn chế truy cập telnet tới host

10.0.1.1 và từ chối truy cập từ host 10.0.1.2 trên line VTY 0-4:
Boston(config)# access-list 30 permit 10.0.1.1
Boston(config)# access-list 30 deny 10.0.1.2
Boston(config)# line vty 0 4
23


Boston(config-1ine)# access-class 30 in
Bạn cần đặt password cho một hoặc nhiều line VTY để kiểm soát các user
truy nhập từ xa vào router và telnet. Thông thường Cisco router có 5 Line VTY với
thứ tự từ 0 đến 4. Chúng ta thường sử dụng một password cho tất cả các line VTY,
nhưng đôi khi chúng ta nên đặt thêm password riêng cho một đường để dự phòng
khi cả 4 đường kia đều đang được sử dụng.
4.3.2 Hướng dẫn khắc phục một số lỗi bảo mật cơ bản của Router
4.3.2.1 Sử dụng router để tăng an toàn cho mạng của bạn. Phần này sẽ giúp bạn
cân nhắc và sử dụng các loại sơ đồ mạng khác nhau.
4.3.2.1.1 Sử dụng router biên độc lập

Hệ thống mạng cơ bản nhất bao gồm một mạng Lan của doanh nghiệp kết
nối với internet bằng cách sử dụng một router biên duy nhất. Router này phải đảm
bảo an toàn cho mạng doanh nghiệp (mạng tin cậy) từ những hoạt động độc hại có
nguồn gốc trên internet (mạng không tin cậy). Kiểu cài đặt này là điển hình của các
doanh nghiệp nhỏ.

24


Router biên là dòng đầu tiên để bảo vệ cho doanh nghiệp, người ta dựa vào
nó để cung cấp truy cập internet và phòng chống tấn công cơ bản.


4.3.2.1.2 Sử dụng router biên và Firewall

Các mạng có kích thước trung bình thường sử dụng một thiết bị tường lửa
(Firewall) phía sau các router biên như trong hình trên. Trong kịch bản này, các
router biên cung cấp gói lọc cơ bản trên các gói tin đã được trù định từ trước đến
mạng công ty. Firewall với các tính năng bảo mật bổ sung của nó, có thể thực hiện
xác thực người dùng cũng như các gói dữ liệu cao cấp hơn bộ lọc.
Cài đặt firewall cũng tạo điều kiện thuận lợi cho việc tạo ra các khu DMZs
nơi các máy chủ thường được truy cập từ nơi đặt Internet.
4.3.2.1.3 Sử dụng router biên có tích hợp Firewall

25