Khoá server của bạn

Trong một chương trình rà soát kiểm tra sổ sách gần đây, chúng tôi bị chỉ trích nặng nề về khả năng truy cập mở server ‘quá sâu’. Để xử lý mối bận tâm cho các kiểm toán viên và làm hài lòng công tác quản lý, chúng tôi tiến hành tìm hiểu một chương trình kiểm toán có thể đem lại những gì. Học hỏi từ khối sản phẩm của Cisco, hai phương án khả dĩ được đưa ra: sử dụng các ACL hoặc thêm một PIX nội bộ vào mạng. Còn bạn, bạn có gợi ý gì chăng?” (Lượm lặt từ Internet).

Cả hai giải pháp tiềm năng nêu ra ở trên đều có hiệu quả!

Một cải tiến ở các ACL là bạn có thể thao tác với chúng ngay lập tức mà không phải chịu bất kỳ khoản phụ phí nào, cũng như không phải thay đổi cấu hình server. Có hai loại cho bạn dùng là ACL cơ sở và ACL mở rộng. ACL cơ sở có đầy đủ các chức năng cơ bản cho công tác kiểm toán, nhưng chúng chưa đủ linh hoạt. ACL mở rộng cung cấp nhiều tính năng hơn mặc dù cần cẩn trọng khi sử dụng, để đảm bảo rằng bạn không khoá một thứ gì đó quá chặt trong khi để một số thứ khác quá mở cho kẻ xấu lợi dụng. Các ACL kiểm tra cần được đưa vào danh sách gỡ lỗi vấn đề mạng để tối thiểu hoá lượng thời gian phải bỏ ra khi xử lý và xác định nguyên nhân vấn đề.

Khi sử dụng ACL, bạn cần xem xét tới vị trí đặt chúng. Đó có thể là trên các server mạng LAN ảo (VLAN) hoặc trên cổng kết nối server riêng. ACL kiểu VLAN, thường có kích thước rất lớn, trong khi ACL kiểu cổng, có kích thước nhỏ hơn nhưng nhiều hơn. Vấn đề lớn nhất gặp phải với các ACL là, nếu sử dụng phiên bản hiện tại của IOS, bạn có thể chỉnh sửa chúng. Khi đó, lựa chọn duy nhất dành cho bạn là chuyển dời phiên bản cũ và upload phiên bản ACL mới.

Một lựa chọn khác có thể áp dụng là mua tường lửa theo cấu hình phần cứng. Có nghĩa là địa chỉ IP server phía sau tường lửa cũng sẽ được thay đổi, trong khi ở bên ngoài, chúng vẫn được biết đến với địa chỉ IP cũ. Một số ứng dụng ASA của Cisco cho phép bạn thêm vào modul hệ thống ngăn chặn xậm nhập (IPS) để bổ sung một số giới hạn điều khiển vào quy tắc truy cập trong tường lửa. Ở đây, bạn có thể chỉnh sửa các quy tắc mà không cần tách nhỏ hoặc thay thế như khi thực hiện với ACL. Bằng cách thêm vào một IPS kết hợp, bạn có thể xử lý được mối bận tâm cho các kiểm toán viên hiện nay và thêm vào một lớp khác làm nền tảng nghiên cứu về sau.

Thứ Ba, 03/04/2007 10:04
31 👨 175
0 Bình luận
Sắp xếp theo