Khoá servercủabạn
“Trong một chương trình rà soát kiểm tra sổ sách gần đây,
chúng tôi bị chỉ trích nặng nề về khả năng truy cập mở
server ‘quá sâu’. Để xử lý mối bận tâm cho các kiểm toán
viên và làm hài lòng công tác quản lý, chúng tôi tiến hành
tìm hiểu một chương trình kiểm toán có thể đem lại những gì.
Học hỏi từ khối sản phẩm của Cisco, hai phương án khả dĩ
được đưa ra: sử dụng các ACL hoặc thêm một PIX nội bộ
vào mạng. Còn bạn, bạn có gợi ý gì chăng?” (Lượm lặt từ
Internet).
Cả hai giải pháp tiềm năng nêu ra ở trên đều có hiệu quả!
Một cải tiến ở các ACL là bạn có thể thao tác với chúng ngay
lập tức mà không phải chịu bất kỳ khoản phụ phí nào, cũng
như không phải thay đổi cấu hình server. Có hai loại cho bạn
dùng là ACL cơ sở và ACL mở rộng. ACL cơ sở có đầy đủ
các chức năng cơ bản cho công tác kiểm toán, nhưng chúng
chưa đủ linh hoạt. ACL mở rộng cung cấp nhiều tính năng
hơn mặc dù cần cẩn trọng khi sử dụng, để đảm bảo rằng bạn
không khoá một thứ gì đó quá chặt trong khi để một số thứ
khác quá mở cho kẻ xấu lợi dụng. Các ACL kiểm tra cần
được đưa vào danh sách gỡ lỗi vấn đề mạng để tối thiểu hoá
lượng thời gian phải bỏ ra khi xử lý và xác định nguyên nhân
vấn đề.
Khi sử dụng ACL, bạn cần xem xét tới vị trí đặt chúng. Đó
có thể là trên các server mạng LAN ảo (VLAN) hoặc trên
cổng kết nối server riêng. ACL kiểu VLAN, thường có kích
thước rất lớn, trong khi ACL kiểu cổng, có kích thước nhỏ
hơn nhưng nhiều hơn. Vấn đề lớn nhất gặp phải với các ACL
là, nếu sử dụng phiên bản hiện tạicủa IOS, bạn có thể chỉnh
sửa chúng. Khi đó, lựa chọn duy nhất dành cho bạn là chuyển
dời phiên bản cũ và upload phiên bản ACL mới.
Một lựa chọn khác có thể áp dụng là mua tường lửa theo cấu
hình phần cứng. Có nghĩa là địa chỉ IP server phía sau tường
lửa cũng sẽ được thay đổi, trong khi ở bên ngoài, chúng vẫn
được biết đến với địa chỉ IP cũ. Một số ứng dụng ASA của
Cisco cho phép bạn thêm vào modul hệ thống ngăn chặn xậm
nhập (IPS) để bổ sung một số giới hạn điều khiển vào quy tắc
truy cập trong tường lửa. Ở đây, bạn có thể chỉnh sửa các quy
tắc mà không cần tách nhỏ hoặc thay thế như khi thực hiện
với ACL. Bằng cách thêm vào một IPS kết hợp, bạn có thể
xử lý được mối bận tâm cho các kiểm toán viên hiện nay và
thêm vào một lớp khác làm nền tảng nghiên cứu về sau.
.
Khoá server của bạn
“Trong một chương trình rà soát kiểm tra sổ sách gần đây,
chúng tôi bị chỉ trích nặng nề về khả năng truy cập mở
server.
Học hỏi từ khối sản phẩm của Cisco, hai phương án khả dĩ
được đưa ra: sử dụng các ACL hoặc thêm một PIX nội bộ
vào mạng. Còn bạn, bạn có gợi ý gì chăng?”