banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Một số câu hỏi về bảo mật.  XML
  [Question]   Một số câu hỏi về bảo mật. 28/08/2008 01:28:24 (+0700) | #1 | 148665
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]
Chào cả nhà!
Mình có một số thắc mắc về bảo mật mong mọi người giúp đỡ

1. Audit và phân tích log network (các công cụ và qui trình thưc hiện phân tích ) : log nhìn vô là thấy choáng,vậy những công cụ nào,qui trình kiểm tra như thế nào để công việc đạt hiểu quả.

2. Quản lý thiết bị và mạng chẳng hạn như khi một máy vi tính cắm vào mạng,sẽ có cảnh báo hoặc thông tin hiển thị báo rằng có một thằng vừa vào mạng. Không biết có tool nào làm đươc việc này kô.

thân!
[Up] [Print Copy]
  [Question]   Re: Một số câu hỏi về bảo mật. 28/08/2008 03:59:35 (+0700) | #2 | 148679
[Avatar]
JFS
Member

[Minus]    0    [Plus]
Joined: 22/03/2004 22:27:38
Messages: 192
Location: ----------d
Offline
[Profile] [PM]
Chào cậu .
Không Biếtt vikjava muốn nói đến Windows ?

1. Mình không hiểu cậu giám sát trên dịch vụ nào và có bao nhiêu dịch vụ ?
Và không biết cậu giám sát trong môi trường nào , giám sát những user nào ?
bao lâu cậu mới đọc log một lần , Nếu được thì gom tất cả các log về một chỗ .

2. Mình không hiểu khi một máy tính cắm vào mạng thì có dấu hiệu nào nhận biết , Broadcast của nó đến router à hay nó cập nhật vào DNS Hay sử dụng tool gì để nhận biết ?

Mình không biết Tool nào nhận biết được máy khi cắm vào ! Chưa hiểu ý của cậu chỗ này cho lắm !
Vài điều muốn thảo luận .
Thân.
sugarCRM
[Up] [Print Copy]
  [Question]   Một số câu hỏi về bảo mật. 28/08/2008 06:23:56 (+0700) | #3 | 148691
[Avatar]
lQ
Moderator

Joined: 29/03/2005 17:06:20
Messages: 494
Offline
[Profile] [PM]

vikjava wrote:
Chào cả nhà!
Mình có một số thắc mắc về bảo mật mong mọi người giúp đỡ

1. Audit và phân tích log network (các công cụ và qui trình thưc hiện phân tích ) : log nhìn vô là thấy choáng,vậy những công cụ nào,qui trình kiểm tra như thế nào để công việc đạt hiểu quả.

2. Quản lý thiết bị và mạng chẳng hạn như khi một máy vi tính cắm vào mạng,sẽ có cảnh báo hoặc thông tin hiển thị báo rằng có một thằng vừa vào mạng. Không biết có tool nào làm đươc việc này kô.

thân!
 


1. Nghiên cứu Splunk thử xem. Splunk có bản free, với dung lượng logs 500 MB/ngày, đủ dùng cho một hệ thống cỡ 100 servers smilie

2. Cisco Catalyst có logs thoả mãn yêu cầu của bạn. Vài mẫu xem thử:
Code:
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/24, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/42, changed state to down


Hoặc cũng có thể theo dõi logs của DHCP: dhcpack, dhcprequest,... để biết 01 máy mỗi khi boot lấy địa chỉ IP lúc nào.

Nếu không dựa vào logs của SW, thì sẽ khó nhận biết 01 host đang up hay đang down. Còn nếu không thì đành dùng 01 tool dạng ping liên tục các IP cần kiểm tra up/down. FREEping là một phần mềm đáp ứng các yêu cầu này, ở mức cơ bản.

Hi vọng cung cấp đủ thông tin cho vikjava.



[Up] [Print Copy]
  [Question]   Re: Một số câu hỏi về bảo mật. 28/08/2008 07:12:37 (+0700) | #4 | 148701
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]
Các thông tin của anh IQ rất hữu ích.
1. Em sẽ tìm hiểu về Splunk xem thế nào. Tìm trên google thì thấy mmro có một bài Splunk: put the fun back into log analysis nhưng blog khóa mất tiêu smilie

Hình như anh IQ chuyên về log, có nghe thangdiablo đề cập đến một lần. Mong anh chia sẽ vài hướng dẫn và kinh nghiệm

2. Câu này em đặt vấn đề chưa đươc rõ ràng lắm .

- Chẳng hạn như ta có một phòng dự án ở lầu 5 và IT thì ở lầu 3. Một anh nào đó từ chi nhánh lên làm việc với đội dự án thì anh ta chỉ có việc cắm dây mạng ,hỏi đồng nghiệp thông số ip .. là anh ta truy cập internet. Ờ lầu 3 mấy thằng IT đâu biết gì . Vấn đề đươc đặt ra là khi anh ta gắm dây mạng vào,cấu hình ip thì sẽ có một cảnh báo gởi tới IT.

- Mọi người có thể chia sẽ giùm mình việc quản lý đối với những trường hợp nhân viên từ chi nhánh lên làm việc với máy xách tay chẳng hạn.

p/s: switch giữa các tầng với nhau không phải hầu hết là của cisco.
[Up] [Print Copy]
  [Question]   Re: Một số câu hỏi về bảo mật. 28/08/2008 07:19:17 (+0700) | #5 | 148702
[Avatar]
kenshin8x
Member

[Minus]    0    [Plus]
Joined: 29/11/2006 20:45:54
Messages: 195
Location: ĐH CNTT
Offline
[Profile] [PM]

2. Câu này em đặt vấn đề chưa đươc rõ ràng lắm .

- Chẳng hạn như ta có một phòng dự án ở lầu 5 và IT thì ở lầu 3. Một anh nào đó từ chi nhánh lên làm việc với đội dự án thì anh ta chỉ có việc cắm dây mạng ,hỏi đồng nghiệp thông số ip .. là anh ta truy cập internet. Ờ lầu 3 mấy thằng IT đâu biết gì . Vấn đề đươc đặt ra là khi anh ta gắm dây mạng vào,cấu hình ip thì sẽ có một cảnh báo gởi tới IT.

- Mọi người có thể chia sẽ giùm mình việc quản lý đối với những trường hợp nhân viên từ chi nhánh lên làm việc với máy xách tay chẳng hạn.
 

cái này bạn thử dùng snort thử xem
[Up] [Print Copy]
  [Question]   Re: Một số câu hỏi về bảo mật. 28/08/2008 10:14:37 (+0700) | #6 | 148715
mybb
Elite Member

[Minus]    0    [Plus]
Joined: 24/03/2003 09:41:17
Messages: 62
Offline
[Profile] [PM]
Vấn đề thứ 2 của vikjava hỏi có thể dùng các thằng như NAC (Network Access Control) để điều khiển việc truy cập vào mạng của các thiết bị. Khi đó không chỉ là cảnh báo mà còn có thể ngăn chặn luôn thiết bị đó.
[Up] [Print Copy]
  [Question]   Re: Một số câu hỏi về bảo mật. 28/08/2008 10:18:31 (+0700) | #7 | 148716
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]

kenshin8x wrote:

2. Câu này em đặt vấn đề chưa đươc rõ ràng lắm .

- Chẳng hạn như ta có một phòng dự án ở lầu 5 và IT thì ở lầu 3. Một anh nào đó từ chi nhánh lên làm việc với đội dự án thì anh ta chỉ có việc cắm dây mạng ,hỏi đồng nghiệp thông số ip .. là anh ta truy cập internet. Ờ lầu 3 mấy thằng IT đâu biết gì . Vấn đề đươc đặt ra là khi anh ta gắm dây mạng vào,cấu hình ip thì sẽ có một cảnh báo gởi tới IT.

- Mọi người có thể chia sẽ giùm mình việc quản lý đối với những trường hợp nhân viên từ chi nhánh lên làm việc với máy xách tay chẳng hạn.
 

cái này bạn thử dùng snort thử xem 

snort dùng để làm gì? nguyên lý hoạt động của nó như thế nào mà có thể đáp ứng nhu cầu trên smilie

@mybb:NAC thì khái niệm này khá rộng . Ngừoi dùng muốn truy cập wireless phải qua 1 radius cũng có thể gọi là NAC. Vậy theo mình NAC chỉ là một khái niệm .

Về việc quản lý theo MAC address thi cũng khó,thằng nào đó lên làm có 1h thì phải cấu hình cho phép nó vô,nó hết làm thì phải detele nó đi. Có cách nào detect ở tầng 2 rùi lên trên kô ta smilie
[Up] [Print Copy]
  [Question]   Re: Một số câu hỏi về bảo mật. 28/08/2008 11:43:47 (+0700) | #8 | 148730
protectHat
Member

[Minus]    0    [Plus]
Joined: 09/08/2008 11:02:35
Messages: 176
Location: DMZ
Offline
[Profile] [PM]
Yêu cầu này của vikjava theo mình là nên theo dõi DHCP, khi máy yêu cầu thì trước khi gửi 1 gói ACK lại có thông báo cho mình luôn.
Đó là ý tưởng thôi chứ chưa làm bao giờ nhưng vikjava thử cái này xem sao
[Up] [Print Copy]
  [Question]   Re: Một số câu hỏi về bảo mật. 28/08/2008 12:36:48 (+0700) | #9 | 148735
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]
@protectHat:mình nghĩ không áp dụng đươc,và mình cũng ko dùng dhcp server. Từ khóa ở Network Access Control nhưng tìm theo từ này thì tiêu,và nó là cả một hệ thống. Trong khi đó nhu cầu thì kô cần triển khai cả môt hệ thống smilie
[Up] [Print Copy]
  [Question]   Re: Một số câu hỏi về bảo mật. 28/08/2008 16:05:01 (+0700) | #10 | 148746
flier_vn
Member

[Minus]    0    [Plus]
Joined: 15/07/2008 01:13:39
Messages: 28
Offline
[Profile] [PM]
view all MAC Address của network ! Xem có MAC nào lạ lạ là bụp liền...
MerChant.Vn - Website học hỏi, trao đổi thảo luận về kinh doanh.

DànhChoBé.VN - Chuyên bán đồ chơi chất lượng, thương hiệu Fisher price, Disney, Thomas & Friends
[Up] [Print Copy]
  [Question]   Re: Một số câu hỏi về bảo mật. 28/08/2008 22:01:34 (+0700) | #11 | 148751
protectHat
Member

[Minus]    0    [Plus]
Joined: 09/08/2008 11:02:35
Messages: 176
Location: DMZ
Offline
[Profile] [PM]
@flier_vn: ai mà ngồi coi vậy được, mà coi vậy nó cắm dây cũng đâu biết
@vikjava : bác không dùng DHCP vậy thì có mô hình mạng là gì ? domain hay workgroup
Bác thử cái này xem
em thấy nó quảng cáo là "show notification when states of some computers change" không biết đã đúng ý bác chưa?
[Up] [Print Copy]
  [Question]   Re: Một số câu hỏi về bảo mật. 28/08/2008 22:23:36 (+0700) | #12 | 148759
[Avatar]
kenshin8x
Member

[Minus]    0    [Plus]
Joined: 29/11/2006 20:45:54
Messages: 195
Location: ĐH CNTT
Offline
[Profile] [PM]

snort dùng để làm gì? nguyên lý hoạt động của nó như thế nào mà có thể đáp ứng nhu cầu trên
 


Snort là một kiểu IDS (Instruction Detection System). Nói ngắn gọn IDS là một hệ thống được cài đặt trên mạng (hay máy tính) của bạn và nhiệm vụ của nó là giám sát những gói tin vào ra hệ thống của bạn. Nếu một cuộc tấn công được phát hiện bởi Snort thì nó có thể phản ứng bằng nhiều cách khác nhau phụ thuộc vào cấu hình mà bạn thiết lập, chẳng hạn như nó có thể gởi thông điệp cảnh báo đến nhà quản trị hay loại bỏ gói tin khi phát hiện có sự bất thường trong các gói tin đó.
 


cách sử dụng chi tiết trên win bạn có thể tham khảo tại [url=http://giaiphapantoan.com/downloads/elearning/software/Snort/] Đây
[/url] smilie
hoặc tại trang chủ www.snort.org
bạn có thể tự xây dựng thêm ruler để cảnh báo khi máy khác kết nối vào mạng của bạn. tài liệu bạn có thể tìm trên mạng
[Up] [Print Copy]
  [Question]   Re: Một số câu hỏi về bảo mật. 28/08/2008 22:36:48 (+0700) | #13 | 148760
[Avatar]
lQ
Moderator

Joined: 29/03/2005 17:06:20
Messages: 494
Offline
[Profile] [PM]
về MAC: nếu dùng nhiều subnet thì làm sao quản lý, khi mà không có những thiết bị mạng chuyên dụng (Cisco Switch chằng hạn), dành cho doanh nghiệp??

về dhcp: nếu như ai đó cấu hình ip tĩnh thì làm sao mà theo dõi thông qua dhcp? Giải pháp kiểm soát việc plug/unplug 01 máy thông qua dhcp chỉ là phụ, cho những giải pháp khác.

đề xuất 02 cách:
- Chỉnh lại firewall, chỉ cho phép các IP hiện tại vào Internet và mở những kết nối cần thiết để liên lạc với các subnet khác trong mạng cty. Khi đó nếu như 01 máy mới được cắm vào, thì sẽ không thể kết nối đến bất kỳ máy nào, ngoại trừ các kết nối trong cùng 01 subnet.
- Dựng 01 proxy server, cũng chỉ cho phép các IP hiện tại vào Internet. Hoặc nên tìm 01 proxy server hỗ trợ report tốt trong việc thống kê truy cập của các IP. Dựa vào điều này để biết IP nào mới sử dụng proxy, ip nào đã sử dụng từ lâu.

02 cách trên đều có hạn chế là không thể kiểm soát truy cập từ các máy mới đến các máy trong cùng mạng. Chỉ làm được chuyện này nếu có thiết bị switch chuyên dụng (lại là đồ chuyên dụng), hỗ trợ protocol netflow.

Tất cả các cách, đều sẽ khó phát hiện ra 01 máy mới nếu máy đó cố tình dùng 01 IP đã có trong mạng đó, nếu không dựa vào MAC address.

về logs hả, đó là 01 may mắn khi các sếp giao nhiệm vụ đó cho lQ. Đọc logs riết rồi ghiền luôn, giống như cà phê buổi sáng đó :-P.
[Up] [Print Copy]
  [Question]   Re: Một số câu hỏi về bảo mật. 28/08/2008 22:40:49 (+0700) | #14 | 148763
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]

kenshin8x wrote:

snort dùng để làm gì? nguyên lý hoạt động của nó như thế nào mà có thể đáp ứng nhu cầu trên
 


Snort là một kiểu IDS (Instruction Detection System). Nói ngắn gọn IDS là một hệ thống được cài đặt trên mạng (hay máy tính) của bạn và nhiệm vụ của nó là giám sát những gói tin vào ra hệ thống của bạn. Nếu một cuộc tấn công được phát hiện bởi Snort thì nó có thể phản ứng bằng nhiều cách khác nhau phụ thuộc vào cấu hình mà bạn thiết lập, chẳng hạn như nó có thể gởi thông điệp cảnh báo đến nhà quản trị hay loại bỏ gói tin khi phát hiện có sự bất thường trong các gói tin đó.
 


cách sử dụng chi tiết trên win bạn có thể tham khảo tại [url=http://giaiphapantoan.com/downloads/elearning/software/Snort/]Đây
[/url] smilie
hoặc tại trang chủ www.snort.org
bạn có thể tự xây dựng thêm ruler để cảnh báo khi máy khác kết nối vào mạng của bạn. tài liệu bạn có thể tìm trên mạng
 


smilie Nhu cầu của tớ đâu có cần phải xây dựng IDS. Tớ hỏi nguyên lý hoạt động của nó bởi vì với nhu cầu của tớ thì snort đâu có đáp ứng đuơc.
[Up] [Print Copy]
  [Question]   Re: Một số câu hỏi về bảo mật. 28/08/2008 23:00:51 (+0700) | #15 | 148766
[Avatar]
kenshin8x
Member

[Minus]    0    [Plus]
Joined: 29/11/2006 20:45:54
Messages: 195
Location: ĐH CNTT
Offline
[Profile] [PM]
Snort có khả năng snift và tất cả các gói tin truyền trong mạng bạn có thể theo dõi các gói tin được gửi từ ip nào đến ip nào, ở cổng nào => biết các máy nào đang làm gì trong mạng (cái này phải theo dõi thuơng xuyên hoặc dọc log smilie )
nó có thể cảnh báo cho cho bạn khi một gói tin có dấu hiệu do bạn định nghĩa sẵn trong ruler (ví dụ khi máy khác cắm vào và gủi gói tin yêu cầu cấp ip thì cảnh báo cho bạn)
snort có thể hoạt động theo nhu câu của bạn nếu bạn cấu hình phù hợp không nhất thiết phải hoạt động như một IDS (snort là open souce)
hoặc bạn có thể dùng theo cách của anh IQ
[Up] [Print Copy]
  [Question]   Re: Một số câu hỏi về bảo mật. 29/08/2008 00:56:39 (+0700) | #16 | 148780
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]

lQ wrote:
về MAC: nếu dùng nhiều subnet thì làm sao quản lý, khi mà không có những thiết bị mạng chuyên dụng (Cisco Switch chằng hạn), dành cho doanh nghiệp??

về dhcp: nếu như ai đó cấu hình ip tĩnh thì làm sao mà theo dõi thông qua dhcp? Giải pháp kiểm soát việc plug/unplug 01 máy thông qua dhcp chỉ là phụ, cho những giải pháp khác.

đề xuất 02 cách:
- Chỉnh lại firewall, chỉ cho phép các IP hiện tại vào Internet và mở những kết nối cần thiết để liên lạc với các subnet khác trong mạng cty. Khi đó nếu như 01 máy mới được cắm vào, thì sẽ không thể kết nối đến bất kỳ máy nào, ngoại trừ các kết nối trong cùng 01 subnet.
- Dựng 01 proxy server, cũng chỉ cho phép các IP hiện tại vào Internet. Hoặc nên tìm 01 proxy server hỗ trợ report tốt trong việc thống kê truy cập của các IP. Dựa vào điều này để biết IP nào mới sử dụng proxy, ip nào đã sử dụng từ lâu.

02 cách trên đều có hạn chế là không thể kiểm soát truy cập từ các máy mới đến các máy trong cùng mạng. Chỉ làm được chuyện này nếu có thiết bị switch chuyên dụng (lại là đồ chuyên dụng), hỗ trợ protocol netflow.

Tất cả các cách, đều sẽ khó phát hiện ra 01 máy mới nếu máy đó cố tình dùng 01 IP đã có trong mạng đó, nếu không dựa vào MAC address.

về logs hả, đó là 01 may mắn khi các sếp giao nhiệm vụ đó cho lQ. Đọc logs riết rồi ghiền luôn, giống như cà phê buổi sáng đó :-P.
 


@IQ
Đa phần là thiết bị cisco nhưng có một vài phòng như phòng traning,phòng đội dự án thì không phải là switch cisco. Đề nghị mua thêm thiết bị để làm vấn đề thứ 2 là một việc chẳng sếp nào duyệt. Tất nhiên nếu nhu cầu cấp thiết thì có thể hoán chuyển switch cisco giữa các tầng để thực hiện dựa vào MAC address. Nhưng đó có thể là giải pháp cuối cùng.

Về 2 đề xuất của anh IQ :
- Đúng là bên em chia ra rất nhiều subnet và subnet của thằng dự án là "trùm". Nó có thể truy xuat toàn bộ hệ thống khá lớn.
- Triển khai proxy thì em có đề xuất dùng thằng isa server triển khai proxy trên isa.Truy xuất phải có user và pass. Nhưng giải pháp này sêp có vẻ thấy không tối ưu nhất. Bản thân em thì thấy thằng này là tối ưu rùi

Về việc dùng dhcp thì chẳng lẽ suốt ngày cứ mở dhcp lên và theo dõi một việc như thề này.

@protectHat: mô hình mạng bên tớ từa lưa hết smilie
kenshin8x : tớ chưa dùng snort nhưng nghĩ rằng nó không đáp ứng đươc nhu cầu đưa ra.

02 cách trên đều có hạn chế là không thể kiểm soát truy cập từ các máy mới đến các máy trong cùng mạng. Chỉ làm được chuyện này nếu có thiết bị switch chuyên dụng (lại là đồ chuyên dụng), hỗ trợ protocol netflow.

Tất cả các cách, đều sẽ khó phát hiện ra 01 máy mới nếu máy đó cố tình dùng 01 IP đã có trong mạng đó, nếu không dựa vào MAC address.
-->> tớ nghĩ đây là cái khó của vấn đề nè
[Up] [Print Copy]
  [Question]   Re: Một số câu hỏi về bảo mật. 29/08/2008 00:59:17 (+0700) | #17 | 148781
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]
Hi vọng sẽ có một topic anh IQ chia sẽ kinh nghiệm về log. smilie
[Up] [Print Copy]
  [Question]   Re: Một số câu hỏi về bảo mật. 29/08/2008 09:17:21 (+0700) | #18 | 148851
[Avatar]
beo_beo37
Member

[Minus]    0    [Plus]
Joined: 08/06/2007 14:04:27
Messages: 550
Location: 255.255.255.255
Offline
[Profile] [PM]
Hi vikjava

Việc chặn ra Internet mà không có đồ Cisco cũng đâu có gì phức tạp smilie
1. Bắt tất cả các máy trong công ty Join Domain ==> mỗi người sẽ có 1 account login vào máy===>tạo ra 1 group abc và add tất cả member vào group này. Có 1 chú làm ISA smilie, trên ISA tạo 1 rule cho phép group này ra Internet còn lại Deny tuốt .
2. Nếu không dùng kiểu Domain thì cũng chơi với 1 con ISA và 1 con làm DHCP server.
DHCP server có phần gán IP theo địa chỉ MAC và bảo đảm MAC đó sẽ được gán với IP đó.
Ví dụ ta sẽ có 1 dải từ 192.168.1.4 - 192.168.1.80 thì trên ISA tạo 1 rule chỉ cho phép dải IP này ra Internet và còn lại là Deny.

ISA làm được nhiều việc lắm chứ smilie

Mr.Beo
[Up] [Print Copy]
  [Question]   Re: Một số câu hỏi về bảo mật. 29/08/2008 10:55:25 (+0700) | #19 | 148862
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]
@beo_beo37:
Tất nhiên sẽ dùng AD để quản lý tập trung. Nhưng có những phòng ,những bộ phận vào AD chăng để làm gì. Việc 1 thằng nào đó cắm dây vô mạng ,cấu hình ip nhưng vẫn không truy xuất internet,subnet khác được là điều bình thường. Tạo 1 con DC,cài một DHCP chỉ để quản lý cái phòng dự án là điều không khả thi. Mà nói thât môt thằng nào đó trong phòng này la làng lên bất tiện nó không làm việc được thì mấy thằng network như tui chạy thí mồ smilie

Thật ra vấn đề này đươc đặt ra không chỉ cho phòng dự án không, các chi nhánh cũng cần triển khai vấn đề này. Môt chi nhánh có 5 tầng chẳng lẻ cần 6 cái switch cisco. Chẳng lẻ mỗi chi nhánh phải cài ISA,DHCP. Mà qua ISA gói tin bị lọc sẽ gây độ trễ cho ứng dụng.

[Up] [Print Copy]
  [Question]   Re: Một số câu hỏi về bảo mật. 29/08/2008 12:24:33 (+0700) | #20 | 148894
pnco
HVA Friend

Joined: 24/06/2005 16:33:48
Messages: 515
Offline
[Profile] [PM] [WWW]
Ở chỗ mình thường làm thế này:
- Trên switch shutdown tất cả port nào không dùng, khi nào có thằng nào nộp tiền cho mình thì mình no shut 1 port nào đấy cho dùng, khi không nộp tiền nữa thì mình lại shutdown smilie
[Up] [Print Copy]
  [Question]   Re: Một số câu hỏi về bảo mật. 29/08/2008 12:55:47 (+0700) | #21 | 148898
[Avatar]
jus1one
Member

[Minus]    0    [Plus]
Joined: 01/01/2008 23:06:06
Messages: 81
Offline
[Profile] [PM]
liệu có dùng SNMP trong trường hợp này được không?
[Up] [Print Copy]
  [Question]   Re: Một số câu hỏi về bảo mật. 29/08/2008 21:59:48 (+0700) | #22 | 148907
[Avatar]
lQ
Moderator

Joined: 29/03/2005 17:06:20
Messages: 494
Offline
[Profile] [PM]

vikjava wrote:
@beo_beo37:
Tất nhiên sẽ dùng AD để quản lý tập trung. Nhưng có những phòng ,những bộ phận vào AD chăng để làm gì. Việc 1 thằng nào đó cắm dây vô mạng ,cấu hình ip nhưng vẫn không truy xuất internet,subnet khác được là điều bình thường. Tạo 1 con DC,cài một DHCP chỉ để quản lý cái phòng dự án là điều không khả thi. Mà nói thât môt thằng nào đó trong phòng này la làng lên bất tiện nó không làm việc được thì mấy thằng network như tui chạy thí mồ smilie
 

Thì ra là muốn quản lý truy cập của 01 phòng (dự án). Nên xem lại quyền truy cập của phòng này. Ít nhất, nó không có quyền remote / kết nối NetBIOS đến phòng tin học.

DHCP không nên dùng cho mục đích kiểm soát việc máy tính cắm / rút dây mạng. Nhưng cũng nên triển khai nó, vì sự tiện ích khi một máy di chuyển vị trí và đổi subnet.

vikjava wrote:
Thật ra vấn đề này đươc đặt ra không chỉ cho phòng dự án không, các chi nhánh cũng cần triển khai vấn đề này. Môt chi nhánh có 5 tầng chẳng lẻ cần 6 cái switch cisco. Chẳng lẻ mỗi chi nhánh phải cài ISA,DHCP. Mà qua ISA gói tin bị lọc sẽ gây độ trễ cho ứng dụng.
 

Có 02 vấn đề mới đây:
- Sao không kết nối các chi nhánh về trung tâm, cho dễ quản lý? Tìm hiểu về MegaWAN xem sao.
- 01 chi nhánh ko cần 06 cái sw. Tiếp tục tìm hiểu về VLAN.
[Up] [Print Copy]
  [Question]   Re: Một số câu hỏi về bảo mật. 29/08/2008 22:10:20 (+0700) | #23 | 148912
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]
@anh IQ: từ chi nhánh về trung tâm tới 3 đường lận. Về vấn đề VLAN thì em có tìm hiểu, ý em là giải pháp đưa ra là giái pháp tổng thể,trong khi đó thiết bị chuyên dụng như cisco không phải đươc đồng bộ.

Phòng này có mọi quyền truy cập đến tất cả các subnet trong một hệ thống mạng khá lớn. Ngừoi xử dụng có quyền admin để chạy một số ứng dụng chuyên dùng. Tất nhiên sẽ quản lý thằng này theo địa chỉ MAC address,nhưng chẳng hạn một cái chi nhánh khoảng 300 nhân viên, quản lý 300 MAC smilie .
p/s: đầu tiên phải test tại phòng này sau đo mới đem ứng dụng toàn hệ thống. Một vài khó khăn là thế

Thân!
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|