1.Giới thiệu
Switch hướng dẫn và điều khiển nhiều dòng dữ liệu đi ngang qua mạng máy tính. Sự hướng dẫn này cung cấp công nghệ giúp nhà quản trị mạng tối ưu hệ thống mạng. Sử dụng những thông tin được trình bày ở đây để cấu hình Switch điều khiển truy xuất, hạn chế tấn công, tấm chắn bảo vệ cho những hệ thống mạng khác, và bảo vệ tính toàn vẹn và tính bảo mật của lưu thông mạng. Sự hướng dẫn này cũng có thể giúp cung cấp thông tin bảo mật bằng cách miêu tả những vấn đề bảo mật liên quan đến tình trạng mạng(Switch) mà nó là 1 phần của mạng máy tính.
Sự hướng dẫn này cũng đáp lại 1 lượng lớn câu hỏi và yêu cầu từ The System and Network Attacks Centrer(SNAC). Những chủ đề này được thảo luận và chọn lựa dựa trên những quan tâm cơ bản của khách hàng và những vấn đề ở SNAC về bảo mật mạng. Nhiệm vụ chính của sự hướng dẫn này là làm tối ưu sự bảo mật trong Switch sử dụng mô hình mạng hoạt động Department Defense.
Sự hướng dẫn này trình bày bảo mật mạng ở tầng 2(Data Link) của mô hình tham chiếu OSI. Một mạng phân cấp được giới thiệu mà giải thích về những loại Switch được sử dụng trong 1 mạng máy tính. Sau đó là tính dễ bị tổn thương và sự đối phó tương ứng được miêu tả theo những topic sau: operation system; password; management port; network service; port security; system avaleblity; virtual local area network; spanning tree protocol; access control list; logging and debugging; authentication, authorization and accounting. Những chủ đề cao hơn được khai báo cho công việc tương lai trong hướng dẫn này. Những file cấu hình ví dụ cho 2 mẫu Switch của Cisco mà nó phối hợp nhiều sự đối phó nhất. Và cuối cùng 1 danh sách kiểm tra tóm lược lại những sự đối phó đó.
2 Mạng phân cấp:
Trong một mạng phân cấp rõ ràng, có 3 lớp được khai báo: access, distribution, core. Trong 1 mạng doanh nghiệp, mối tầng cung cấp 1 chức năng khác nhau. Bởi vì những tầng đó không phải lúc nào cũng nhận biết được tên truyền thống của mình, những cái tên được tham chiếu đến như: access hay workgroup, distribution hay policy, và core hay backbone.
Tầng access hay workgroup thì kết nối đến người dùng. Chức năng khác của tầng này là được chia sẽ băng thông, Switched bandwith, lọc địa chỉ Media Access control(MAC) và phân đoạn. Local Area Network tồn tại hầu hết phổ biến trong tầng access.
Distribution hay policy thực thi sự phức tạp và những tính toán xử lý chuyên sâu như: lọc, định tuyến liên Vlan, sự duy tri cây multicast, khai báo vung multicast và broadcast và địa chỉ , tổng các vùng. Tâng này cũng bao gồm Server cục bộ. Router, Lan Switch, Switched với khả năng định tuyến tâp trung trong tầng Distribution.
Tầng Core hay Backbone là xương sống của mạng. Nó có tốc độ cao và liên quan đến việc chuyển mạch nhanh traffic. Nó thì không bao gồm sự thao tác gói tin ở phạm vi rộng. Những Server trung tâm cũng cần phải được gắn vào phần high-speed backbone trong tầng Core. Switch routers, high-speed routers, và đôi khi là Switch LAN có thể được tìm thấy trong tầng này.
Sơ đồ mạng sau đây phục vụ như là 1 điểm tham chiếu cho sự hướng dẫn. Hai Switch 3550 của Cisco nằm trên đỉnh của sơ đồ hoạt động ở tầng Access. Hai Switch 6500 của Cisco cung cấp khả năng phối hợp chức năng cho tầng Distribution và Core. Tất cả những yêu cầu bảo mật trong sự hướng dẫn này đều tham chiếu đến sơ đồ này. Sơ đồ này chỉ đại diện kiến trúc mạng được khuyến cáo; có rất nhiều kiến trúc khác nhau mà có thể sử dụng được
3. Hệ Điều Hành
3.1. Tính Nguy Hiểm:
Nếu một hệ thống không tiếptục hoạt động thì Switch dễ bị ảnh hưởng bở những thông tin tập trung tấn công mạng. Những kẻ tấn công tìm điểm yếu trong những phiên bản IOS hiện tại. Những tính năng bảo mật mới được thêm vào trong các phiên bản ISO mới. IOS của cisco cũng tương tự như những IOS khác với sự mong đợi là chịu đựng những điểm yếu đó.
3.2. Giải Pháp:
Cài đặt phiên bản IOS mới nhất cho mỗi Switch. Cisco luon đưa ra những IOS mới, một sự nâng cấp đem lại lợi ích cho việc bảo mật nhưng nếu điều này thực hiện không chính xác thì nó sẽ làm Switch bị tổn thương. Nó thật quan trọng để ghi nhớ rằng việc nâng cấp IOS mới chỉ được hoàn thành bằng việc thay thế IOS hiện hành trên Switch. Nó thì không có khả năng cải thiện hoặc vá lỗi IOS đã cài đặt.
Cập nhật một IOS có thể đụng chạm đến 1 Switch và khả năng hoạt động của mạng. Ví dụ như hiệu năng của Switch có thể bị ảnh hưởng để làm giảm thời gian chết cho việ nâng cấp hoặc những đặc tính mà nó hoạt động không đúng chức năng sau khi nâng cấp. Nó thật quan trọng để đọc và hiểu các ghi chú cho những phiên bản IOS 1 cách tổng hợp trước khi cài đặt nó phải chắc chắn rằng phiên bản này hỗ trợ đầy đủ những tính năng mà Switch cần trong mạng. Để chuẩn bị cho việc nâng cấp nếu hiệu năng của Switch hay bảo mật bị tổn thương, nếu điều này xảy ra thì thay thế 1 Switch bằng 1 Switch dự phòng để thực thi việc nâng cấp offline mà không làm mạng bị gián đoạn. Trong mạng với nhưng Switch dự phòng, nâng cấp Switch dự phòng từng phần và xác minh lại sự thành công trước khi nâng cấp phần khác.
3.2.1 Những phiên bản IOS thu được.
Cisco tạo ra những phiên bản IOS mới để tạo nên sự đa dạng của những cơ chế và dễ dàng bảo trì. Nếu người quản trị có một thoả thuận có trung tâm bảo trì của Cisco thì người quản trị có thể tải phiên từ trung tâm phần mền trên website của Cisco. Sau khi tải xuống hãy kiểm tra kích thước của phiên bản. Trong lúc lựa chọn phiên bản IOS và trình tự download trên website của Cisco, người quản trị sẽ được đưa cho chiều dài của phiên bản trong những bytes. In trang web tóm lượt bao gồm chiều dài và MD5 checksum cho phiên bản IOS mong muốn. Luôn so sánh MD5 checksum phiên bản được tải và MD5 checksum phiên bản trên trang web. Nếu checksum không phù hợp thì huỷ phiên bản đó và tải nó xuống một lần nữa.
Xác định phiên bản nào cần cho Switch thì người quàn trị cần xem xét các nhân tố sau: Tính năng sẵn sang, tình trạng phiên bản, giá, số lượng required memory và bug history. Để biết chi tiết về các phiên bản hãy tham chiếu những tran Web sau của Cisco:
http://www.cisco.com/en/US/products/sw/iosswrel/products_ios_cisco_ios_software_category_home.html
http://www.cisco.com/warp/public/732/releases/packaging/
Switch hướng dẫn và điều khiển nhiều dòng dữ liệu đi ngang qua mạng máy tính. Sự hướng dẫn này cung cấp công nghệ giúp nhà quản trị mạng tối ưu hệ thống mạng. Sử dụng những thông tin được trình bày ở đây để cấu hình Switch điều khiển truy xuất, hạn chế tấn công, tấm chắn bảo vệ cho những hệ thống mạng khác, và bảo vệ tính toàn vẹn và tính bảo mật của lưu thông mạng. Sự hướng dẫn này cũng có thể giúp cung cấp thông tin bảo mật bằng cách miêu tả những vấn đề bảo mật liên quan đến tình trạng mạng(Switch) mà nó là 1 phần của mạng máy tính.
Sự hướng dẫn này cũng đáp lại 1 lượng lớn câu hỏi và yêu cầu từ The System and Network Attacks Centrer(SNAC). Những chủ đề này được thảo luận và chọn lựa dựa trên những quan tâm cơ bản của khách hàng và những vấn đề ở SNAC về bảo mật mạng. Nhiệm vụ chính của sự hướng dẫn này là làm tối ưu sự bảo mật trong Switch sử dụng mô hình mạng hoạt động Department Defense.
Sự hướng dẫn này trình bày bảo mật mạng ở tầng 2(Data Link) của mô hình tham chiếu OSI. Một mạng phân cấp được giới thiệu mà giải thích về những loại Switch được sử dụng trong 1 mạng máy tính. Sau đó là tính dễ bị tổn thương và sự đối phó tương ứng được miêu tả theo những topic sau: operation system; password; management port; network service; port security; system avaleblity; virtual local area network; spanning tree protocol; access control list; logging and debugging; authentication, authorization and accounting. Những chủ đề cao hơn được khai báo cho công việc tương lai trong hướng dẫn này. Những file cấu hình ví dụ cho 2 mẫu Switch của Cisco mà nó phối hợp nhiều sự đối phó nhất. Và cuối cùng 1 danh sách kiểm tra tóm lược lại những sự đối phó đó.
2 Mạng phân cấp:
Trong một mạng phân cấp rõ ràng, có 3 lớp được khai báo: access, distribution, core. Trong 1 mạng doanh nghiệp, mối tầng cung cấp 1 chức năng khác nhau. Bởi vì những tầng đó không phải lúc nào cũng nhận biết được tên truyền thống của mình, những cái tên được tham chiếu đến như: access hay workgroup, distribution hay policy, và core hay backbone.
Tầng access hay workgroup thì kết nối đến người dùng. Chức năng khác của tầng này là được chia sẽ băng thông, Switched bandwith, lọc địa chỉ Media Access control(MAC) và phân đoạn. Local Area Network tồn tại hầu hết phổ biến trong tầng access.
Distribution hay policy thực thi sự phức tạp và những tính toán xử lý chuyên sâu như: lọc, định tuyến liên Vlan, sự duy tri cây multicast, khai báo vung multicast và broadcast và địa chỉ , tổng các vùng. Tâng này cũng bao gồm Server cục bộ. Router, Lan Switch, Switched với khả năng định tuyến tâp trung trong tầng Distribution.
Tầng Core hay Backbone là xương sống của mạng. Nó có tốc độ cao và liên quan đến việc chuyển mạch nhanh traffic. Nó thì không bao gồm sự thao tác gói tin ở phạm vi rộng. Những Server trung tâm cũng cần phải được gắn vào phần high-speed backbone trong tầng Core. Switch routers, high-speed routers, và đôi khi là Switch LAN có thể được tìm thấy trong tầng này.
Sơ đồ mạng sau đây phục vụ như là 1 điểm tham chiếu cho sự hướng dẫn. Hai Switch 3550 của Cisco nằm trên đỉnh của sơ đồ hoạt động ở tầng Access. Hai Switch 6500 của Cisco cung cấp khả năng phối hợp chức năng cho tầng Distribution và Core. Tất cả những yêu cầu bảo mật trong sự hướng dẫn này đều tham chiếu đến sơ đồ này. Sơ đồ này chỉ đại diện kiến trúc mạng được khuyến cáo; có rất nhiều kiến trúc khác nhau mà có thể sử dụng được
3. Hệ Điều Hành
3.1. Tính Nguy Hiểm:
Nếu một hệ thống không tiếptục hoạt động thì Switch dễ bị ảnh hưởng bở những thông tin tập trung tấn công mạng. Những kẻ tấn công tìm điểm yếu trong những phiên bản IOS hiện tại. Những tính năng bảo mật mới được thêm vào trong các phiên bản ISO mới. IOS của cisco cũng tương tự như những IOS khác với sự mong đợi là chịu đựng những điểm yếu đó.
3.2. Giải Pháp:
Cài đặt phiên bản IOS mới nhất cho mỗi Switch. Cisco luon đưa ra những IOS mới, một sự nâng cấp đem lại lợi ích cho việc bảo mật nhưng nếu điều này thực hiện không chính xác thì nó sẽ làm Switch bị tổn thương. Nó thật quan trọng để ghi nhớ rằng việc nâng cấp IOS mới chỉ được hoàn thành bằng việc thay thế IOS hiện hành trên Switch. Nó thì không có khả năng cải thiện hoặc vá lỗi IOS đã cài đặt.
Cập nhật một IOS có thể đụng chạm đến 1 Switch và khả năng hoạt động của mạng. Ví dụ như hiệu năng của Switch có thể bị ảnh hưởng để làm giảm thời gian chết cho việ nâng cấp hoặc những đặc tính mà nó hoạt động không đúng chức năng sau khi nâng cấp. Nó thật quan trọng để đọc và hiểu các ghi chú cho những phiên bản IOS 1 cách tổng hợp trước khi cài đặt nó phải chắc chắn rằng phiên bản này hỗ trợ đầy đủ những tính năng mà Switch cần trong mạng. Để chuẩn bị cho việc nâng cấp nếu hiệu năng của Switch hay bảo mật bị tổn thương, nếu điều này xảy ra thì thay thế 1 Switch bằng 1 Switch dự phòng để thực thi việc nâng cấp offline mà không làm mạng bị gián đoạn. Trong mạng với nhưng Switch dự phòng, nâng cấp Switch dự phòng từng phần và xác minh lại sự thành công trước khi nâng cấp phần khác.
3.2.1 Những phiên bản IOS thu được.
Cisco tạo ra những phiên bản IOS mới để tạo nên sự đa dạng của những cơ chế và dễ dàng bảo trì. Nếu người quản trị có một thoả thuận có trung tâm bảo trì của Cisco thì người quản trị có thể tải phiên từ trung tâm phần mền trên website của Cisco. Sau khi tải xuống hãy kiểm tra kích thước của phiên bản. Trong lúc lựa chọn phiên bản IOS và trình tự download trên website của Cisco, người quản trị sẽ được đưa cho chiều dài của phiên bản trong những bytes. In trang web tóm lượt bao gồm chiều dài và MD5 checksum cho phiên bản IOS mong muốn. Luôn so sánh MD5 checksum phiên bản được tải và MD5 checksum phiên bản trên trang web. Nếu checksum không phù hợp thì huỷ phiên bản đó và tải nó xuống một lần nữa.
Xác định phiên bản nào cần cho Switch thì người quàn trị cần xem xét các nhân tố sau: Tính năng sẵn sang, tình trạng phiên bản, giá, số lượng required memory và bug history. Để biết chi tiết về các phiên bản hãy tham chiếu những tran Web sau của Cisco:
http://www.cisco.com/en/US/products/sw/iosswrel/products_ios_cisco_ios_software_category_home.html
http://www.cisco.com/warp/public/732/releases/packaging/