Securing Switch Access
Switch giúp hướng dẫn và kiểm soát phần lớn các dữ liệu chảy qua các mạng máy tính. An ninh mạng thông thường thường tập trung nhiều hơn trên các Router và ngăn chặn giao thông từ bên ngoài. Switch là thiết bị được sử dụng trong nội bộ tổ chức và được thiết kế để cho phép dễ dàng kết nối, do đó chỉ vài biện pháp an ninh hạn chế hoặc không được áp dụng.
Trong một mạng phân cấp được hình thành từ 3 lớp: Access , Distribution and Core. Mỗi lớp sẽ cung cấp các chức năng khác nhau ví dụ như: Access như nhóm làm việc, Distribution như các chính sách được áp dụng, Core như một xương sống của mạng.
Cấu hình Switch Security
1. Hệ điều hành.
Những kẻ tấn công tìm thấy điểm yếu trong các phiên bản của hệ điều hành.
Các tính năng bảo mật mới được thêm vào mỗi phiên bản của hệ điều hành.
Cài đặt phiên bản ổn định và mới nhất của IOS trên mỗi Switch.
2. Mật khẩu.
Cổng Console. Bạn nên cài 1 một khẩu cho nó. Trong công việc bạn không muốn ai đó vào phòng mình và gắn 1 dây vào cổng console và phá hoại những gì bạn đã làm. Điều đó thật không tốt chút nào.
Switch(config)#enable secret [password]
Switch(config)#username admin password [password]
Các line console và line vty
SWITCH(config)#line console 0
SWITCH(config-line)#password cisco
SWITCH(config-line)#login
SWITCH(config-line)#line vty 0 15
SWITCH(config-line)#password cisco
SWITCH(config-line)#login
SWITCH(config-line)#exit
Khi bạn đã cấu hình tất cả các password có thể truy cập vào thiết bị như những mật khẩu đó ở trạng thái không được mã hóa. Nó rất nguy hiểm đối với những người biết một ít về IT, họ sẽ sử dụng lệnh show để xem được tất cả mật khẩu bạn đã cấu hình và họ ra vào tự nhiên như nơi không người.
SWITCH(config)#service password-encryption
Thiết lập khoảng thời gian exec-timeout sẽ giúp bạn ngắn kết nối khi bạn bận việc gì đó hoặc bạn không còn làm việc nữa. Không nên đặt khoảng thời gian chờ là 0 0 bởi vì trên các thiết bị chuyển mạch của cisco sẽ vô hiệu hóa.
SWITCH(config)# line con 0
SWITCH(config-line)# exec-timeout 3 0
Cấu hình message-of-the-day (MOTD) văn bản có phân biệt chữ hoa chữ thường và hãy đảm bảo rằng bạn không thêm bất kỳ dấu cách nào vào trước hoặc sau văn bản. Sử dụng các ký tự phần định trước và sau văn bản. Bắt đầu và kết thúc một thông điệp cần sử dụng ký tự giống nhau ví dụ như # #.Nên nhớ là không nên sử dụng những kí tự đã có trong văn bản. Những thông điệp bạn cấu hình sẽ hiễn thị khi bạn đăng nhập trở lại.
3 Dịch vụ mạng.
Các Switch có thể có một số dịch vụ mạng được bật tự động. Nhiểu trong số các dịch vụ này thưởng không cần thiết cho hoạt động bình thường. Tuy nhiên nếu các dịch vụ này được kích hoạt thì dễ bị các tin tặc thu thập thông tin hoặc tấn công vào mạng của bạn.
Trong một mạng phân cấp được hình thành từ 3 lớp: Access , Distribution and Core. Mỗi lớp sẽ cung cấp các chức năng khác nhau ví dụ như: Access như nhóm làm việc, Distribution như các chính sách được áp dụng, Core như một xương sống của mạng.
Cấu hình Switch Security
1. Hệ điều hành.
Những kẻ tấn công tìm thấy điểm yếu trong các phiên bản của hệ điều hành.
Các tính năng bảo mật mới được thêm vào mỗi phiên bản của hệ điều hành.
Cài đặt phiên bản ổn định và mới nhất của IOS trên mỗi Switch.
2. Mật khẩu.
Cổng Console. Bạn nên cài 1 một khẩu cho nó. Trong công việc bạn không muốn ai đó vào phòng mình và gắn 1 dây vào cổng console và phá hoại những gì bạn đã làm. Điều đó thật không tốt chút nào.
Switch(config)#enable secret [password]
Switch(config)#username admin password [password]
Các line console và line vty
SWITCH(config)#line console 0
SWITCH(config-line)#password cisco
SWITCH(config-line)#login
SWITCH(config-line)#line vty 0 15
SWITCH(config-line)#password cisco
SWITCH(config-line)#login
SWITCH(config-line)#exit
Khi bạn đã cấu hình tất cả các password có thể truy cập vào thiết bị như những mật khẩu đó ở trạng thái không được mã hóa. Nó rất nguy hiểm đối với những người biết một ít về IT, họ sẽ sử dụng lệnh show để xem được tất cả mật khẩu bạn đã cấu hình và họ ra vào tự nhiên như nơi không người.
SWITCH(config)#service password-encryption
Thiết lập khoảng thời gian exec-timeout sẽ giúp bạn ngắn kết nối khi bạn bận việc gì đó hoặc bạn không còn làm việc nữa. Không nên đặt khoảng thời gian chờ là 0 0 bởi vì trên các thiết bị chuyển mạch của cisco sẽ vô hiệu hóa.
SWITCH(config)# line con 0
SWITCH(config-line)# exec-timeout 3 0
Cấu hình message-of-the-day (MOTD) văn bản có phân biệt chữ hoa chữ thường và hãy đảm bảo rằng bạn không thêm bất kỳ dấu cách nào vào trước hoặc sau văn bản. Sử dụng các ký tự phần định trước và sau văn bản. Bắt đầu và kết thúc một thông điệp cần sử dụng ký tự giống nhau ví dụ như # #.Nên nhớ là không nên sử dụng những kí tự đã có trong văn bản. Những thông điệp bạn cấu hình sẽ hiễn thị khi bạn đăng nhập trở lại.
3 Dịch vụ mạng.
Các Switch có thể có một số dịch vụ mạng được bật tự động. Nhiểu trong số các dịch vụ này thưởng không cần thiết cho hoạt động bình thường. Tuy nhiên nếu các dịch vụ này được kích hoạt thì dễ bị các tin tặc thu thập thông tin hoặc tấn công vào mạng của bạn.
Nhận xét
Đăng nhận xét