Chính sách bảo vệ truy cập thiết bị mạng

[nktung]

Là một người quản trị mạng, bạn thường phải truy cập các thiết bị mạng (Router, switch, máy chủ...) để kiểm tra hoạt động. Để truy cập cần phải có mật khẩu quản trị. Mật khẩu này bạn đặt là mật khẩu mạnh (VD: có ít nhất 8 ký tự, bao gồm chữ hoa+chữ thường+số). Tuy nhiên nếu chỉ có mật khẩu mạnh thì đã đủ bảo vệ thiết bị khỏi sự tấn công hay chưa? Có những biện pháp nào hỗ trợ cho việc bảo vệ truy cập vào thiết bị bên cạnh việc sử dụng mật khẩu?Bài viết này nêu ra tình huống một người quản trị mạng đang muốn thiết lập các chính sách bảo vệ truy cập thiết bị Router hãng Cisco (Cisco là hãng thiết bị có sản phẩm được các doanh nghiệp sử dụng khá phổ biến)
- Đầu tiên cần phải mã hóa mật khẩu được cấu hình trên thiết bị bởi vì nếu không mã hóa, kẻ tấn công có thể, ví dụ: dụng lúc người quản trị đi WC, kẻ gian ra máy người quản trị gõ câu lệnh xem trộm mật khẩu. Câu lệnh cấu hình mã hóa các mật khẩu trên Router:

Router(config)#service password-encryption​

- Nếu người quản trị là người cẩn thận, thưởng xuyên lock máy tính khi đi ra ngoài, kẻ gian sẽ sử dụng kiểu tấn công "vét cạn", tức là thử các mật khẩu khác nhau để tìm ra mật khẩu truy cập. Để phòng tránh trường hợp này, người quản trị cần đặt chính sách: khóa phiên truy cập trong vòng t(giây) nếu như nhập sai mật khẩu n lần trong khoảng thời gian p(giây)

Router(config)#login block-for t attempts n within p​

- Ngoài ra người quản trị nên đặt thời gian kết thúc phiên kết nối, ví dụ sau 10 phút mà không thấy có tác động cấu hình từ máy của người quản trị đến thiết bị, thì thiết bị sẽ ngắt kết nối (qua cổng console, vty, aux). Câu lệnh cấu hình:

Router(config-...)#exec-timeout 10​