Một số câu hỏi về bảo mật.

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

Một số câu hỏi về bảo mật.

[Question] Một số câu hỏi về bảo mật.	28/08/2008 01:28:24 (+0700) \| #1 \| 148665

vikjava
Elite Member

Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline

Chào cả nhà!
Mình có một số thắc mắc về bảo mật mong mọi người giúp đỡ

1. Audit và phân tích log network (các công cụ và qui trình thưc hiện phân tích ) : log nhìn vô là thấy choáng,vậy những công cụ nào,qui trình kiểm tra như thế nào để công việc đạt hiểu quả.

2. Quản lý thiết bị và mạng chẳng hạn như khi một máy vi tính cắm vào mạng,sẽ có cảnh báo hoặc thông tin hiển thị báo rằng có một thằng vừa vào mạng. Không biết có tool nào làm đươc việc này kô.

thân!

[Question] Re: Một số câu hỏi về bảo mật.	28/08/2008 03:59:35 (+0700) \| #2 \| 148679

JFS
Member

Joined: 22/03/2004 22:27:38
Messages: 192
Location: ----------d
Offline

Chào cậu .
Không Biếtt vikjava muốn nói đến Windows ?

1. Mình không hiểu cậu giám sát trên dịch vụ nào và có bao nhiêu dịch vụ ?
Và không biết cậu giám sát trong môi trường nào , giám sát những user nào ?
bao lâu cậu mới đọc log một lần , Nếu được thì gom tất cả các log về một chỗ .

2. Mình không hiểu khi một máy tính cắm vào mạng thì có dấu hiệu nào nhận biết , Broadcast của nó đến router à hay nó cập nhật vào DNS Hay sử dụng tool gì để nhận biết ?

Mình không biết Tool nào nhận biết được máy khi cắm vào ! Chưa hiểu ý của cậu chỗ này cho lắm !
Vài điều muốn thảo luận .
Thân.

sugarCRM

[Question] Một số câu hỏi về bảo mật.	28/08/2008 06:23:56 (+0700) \| #3 \| 148691

lQ
Moderator

Joined: 29/03/2005 17:06:20
Messages: 494
Offline

vikjava wrote:

Chào cả nhà!
Mình có một số thắc mắc về bảo mật mong mọi người giúp đỡ

1. Audit và phân tích log network (các công cụ và qui trình thưc hiện phân tích ) : log nhìn vô là thấy choáng,vậy những công cụ nào,qui trình kiểm tra như thế nào để công việc đạt hiểu quả.

2. Quản lý thiết bị và mạng chẳng hạn như khi một máy vi tính cắm vào mạng,sẽ có cảnh báo hoặc thông tin hiển thị báo rằng có một thằng vừa vào mạng. Không biết có tool nào làm đươc việc này kô.

thân!

1. Nghiên cứu Splunk thử xem. Splunk có bản free, với dung lượng logs 500 MB/ngày, đủ dùng cho một hệ thống cỡ 100 servers smilie

2. Cisco Catalyst có logs thoả mãn yêu cầu của bạn. Vài mẫu xem thử:
Code:

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/24, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/42, changed state to down

Hoặc cũng có thể theo dõi logs của DHCP: dhcpack, dhcprequest,... để biết 01 máy mỗi khi boot lấy địa chỉ IP lúc nào.

Nếu không dựa vào logs của SW, thì sẽ khó nhận biết 01 host đang up hay đang down. Còn nếu không thì đành dùng 01 tool dạng ping liên tục các IP cần kiểm tra up/down. FREEping là một phần mềm đáp ứng các yêu cầu này, ở mức cơ bản.

Hi vọng cung cấp đủ thông tin cho vikjava.

[Question] Re: Một số câu hỏi về bảo mật.	28/08/2008 07:12:37 (+0700) \| #4 \| 148701

vikjava
Elite Member

Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline

Các thông tin của anh IQ rất hữu ích.
1. Em sẽ tìm hiểu về Splunk xem thế nào. Tìm trên google thì thấy mmro có một bài Splunk: put the fun back into log analysis nhưng blog khóa mất tiêu smilie

Hình như anh IQ chuyên về log, có nghe thangdiablo đề cập đến một lần. Mong anh chia sẽ vài hướng dẫn và kinh nghiệm

2. Câu này em đặt vấn đề chưa đươc rõ ràng lắm .

- Chẳng hạn như ta có một phòng dự án ở lầu 5 và IT thì ở lầu 3. Một anh nào đó từ chi nhánh lên làm việc với đội dự án thì anh ta chỉ có việc cắm dây mạng ,hỏi đồng nghiệp thông số ip .. là anh ta truy cập internet. Ờ lầu 3 mấy thằng IT đâu biết gì . Vấn đề đươc đặt ra là khi anh ta gắm dây mạng vào,cấu hình ip thì sẽ có một cảnh báo gởi tới IT.

- Mọi người có thể chia sẽ giùm mình việc quản lý đối với những trường hợp nhân viên từ chi nhánh lên làm việc với máy xách tay chẳng hạn.

p/s: switch giữa các tầng với nhau không phải hầu hết là của cisco.

[Question] Re: Một số câu hỏi về bảo mật.	28/08/2008 07:19:17 (+0700) \| #5 \| 148702

kenshin8x
Member

Joined: 29/11/2006 20:45:54
Messages: 195
Location: ĐH CNTT
Offline

2. Câu này em đặt vấn đề chưa đươc rõ ràng lắm .

- Chẳng hạn như ta có một phòng dự án ở lầu 5 và IT thì ở lầu 3. Một anh nào đó từ chi nhánh lên làm việc với đội dự án thì anh ta chỉ có việc cắm dây mạng ,hỏi đồng nghiệp thông số ip .. là anh ta truy cập internet. Ờ lầu 3 mấy thằng IT đâu biết gì . Vấn đề đươc đặt ra là khi anh ta gắm dây mạng vào,cấu hình ip thì sẽ có một cảnh báo gởi tới IT.

- Mọi người có thể chia sẽ giùm mình việc quản lý đối với những trường hợp nhân viên từ chi nhánh lên làm việc với máy xách tay chẳng hạn.

cái này bạn thử dùng snort thử xem

[Question] Re: Một số câu hỏi về bảo mật.	28/08/2008 10:14:37 (+0700) \| #6 \| 148715

mybb
Elite Member

Joined: 24/03/2003 09:41:17
Messages: 62
Offline

Vấn đề thứ 2 của vikjava hỏi có thể dùng các thằng như NAC (Network Access Control) để điều khiển việc truy cập vào mạng của các thiết bị. Khi đó không chỉ là cảnh báo mà còn có thể ngăn chặn luôn thiết bị đó.

[Question] Re: Một số câu hỏi về bảo mật.	28/08/2008 10:18:31 (+0700) \| #7 \| 148716

vikjava
Elite Member

Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline

kenshin8x wrote:

2. Câu này em đặt vấn đề chưa đươc rõ ràng lắm .

- Chẳng hạn như ta có một phòng dự án ở lầu 5 và IT thì ở lầu 3. Một anh nào đó từ chi nhánh lên làm việc với đội dự án thì anh ta chỉ có việc cắm dây mạng ,hỏi đồng nghiệp thông số ip .. là anh ta truy cập internet. Ờ lầu 3 mấy thằng IT đâu biết gì . Vấn đề đươc đặt ra là khi anh ta gắm dây mạng vào,cấu hình ip thì sẽ có một cảnh báo gởi tới IT.

- Mọi người có thể chia sẽ giùm mình việc quản lý đối với những trường hợp nhân viên từ chi nhánh lên làm việc với máy xách tay chẳng hạn.

cái này bạn thử dùng snort thử xem

snort dùng để làm gì? nguyên lý hoạt động của nó như thế nào mà có thể đáp ứng nhu cầu trên smilie

@mybb:NAC thì khái niệm này khá rộng . Ngừoi dùng muốn truy cập wireless phải qua 1 radius cũng có thể gọi là NAC. Vậy theo mình NAC chỉ là một khái niệm .

Về việc quản lý theo MAC address thi cũng khó,thằng nào đó lên làm có 1h thì phải cấu hình cho phép nó vô,nó hết làm thì phải detele nó đi. Có cách nào detect ở tầng 2 rùi lên trên kô ta smilie

[Question] Re: Một số câu hỏi về bảo mật.	28/08/2008 11:43:47 (+0700) \| #8 \| 148730

protectHat
Member

Joined: 09/08/2008 11:02:35
Messages: 176
Location: DMZ
Offline

Yêu cầu này của vikjava theo mình là nên theo dõi DHCP, khi máy yêu cầu thì trước khi gửi 1 gói ACK lại có thông báo cho mình luôn.
Đó là ý tưởng thôi chứ chưa làm bao giờ nhưng vikjava thử cái này xem sao

[Question] Re: Một số câu hỏi về bảo mật.	28/08/2008 12:36:48 (+0700) \| #9 \| 148735

vikjava
Elite Member

Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline

@protectHat:mình nghĩ không áp dụng đươc,và mình cũng ko dùng dhcp server. Từ khóa ở Network Access Control nhưng tìm theo từ này thì tiêu,và nó là cả một hệ thống. Trong khi đó nhu cầu thì kô cần triển khai cả môt hệ thống smilie

[Question] Re: Một số câu hỏi về bảo mật.	28/08/2008 16:05:01 (+0700) \| #10 \| 148746

flier_vn
Member

Joined: 15/07/2008 01:13:39
Messages: 28
Offline

view all MAC Address của network ! Xem có MAC nào lạ lạ là bụp liền...

MerChant.Vn - Website học hỏi, trao đổi thảo luận về kinh doanh.

DànhChoBé.VN - Chuyên bán đồ chơi chất lượng, thương hiệu Fisher price, Disney, Thomas & Friends

[Question] Re: Một số câu hỏi về bảo mật.	28/08/2008 22:01:34 (+0700) \| #11 \| 148751

protectHat
Member

Joined: 09/08/2008 11:02:35
Messages: 176
Location: DMZ
Offline

@flier_vn: ai mà ngồi coi vậy được, mà coi vậy nó cắm dây cũng đâu biết
@vikjava : bác không dùng DHCP vậy thì có mô hình mạng là gì ? domain hay workgroup
Bác thử cái này xem
em thấy nó quảng cáo là "show notification when states of some computers change" không biết đã đúng ý bác chưa?

[Question] Re: Một số câu hỏi về bảo mật.	28/08/2008 22:23:36 (+0700) \| #12 \| 148759

kenshin8x
Member

Joined: 29/11/2006 20:45:54
Messages: 195
Location: ĐH CNTT
Offline

snort dùng để làm gì? nguyên lý hoạt động của nó như thế nào mà có thể đáp ứng nhu cầu trên

Snort là một kiểu IDS (Instruction Detection System). Nói ngắn gọn IDS là một hệ thống được cài đặt trên mạng (hay máy tính) của bạn và nhiệm vụ của nó là giám sát những gói tin vào ra hệ thống của bạn. Nếu một cuộc tấn công được phát hiện bởi Snort thì nó có thể phản ứng bằng nhiều cách khác nhau phụ thuộc vào cấu hình mà bạn thiết lập, chẳng hạn như nó có thể gởi thông điệp cảnh báo đến nhà quản trị hay loại bỏ gói tin khi phát hiện có sự bất thường trong các gói tin đó.

cách sử dụng chi tiết trên win bạn có thể tham khảo tại [url=http://giaiphapantoan.com/downloads/elearning/software/Snort/] Đây
[/url] smilie

hoặc tại trang chủ www.snort.org
bạn có thể tự xây dựng thêm ruler để cảnh báo khi máy khác kết nối vào mạng của bạn. tài liệu bạn có thể tìm trên mạng

[Question] Re: Một số câu hỏi về bảo mật.	28/08/2008 22:36:48 (+0700) \| #13 \| 148760

lQ
Moderator

Joined: 29/03/2005 17:06:20
Messages: 494
Offline

về MAC: nếu dùng nhiều subnet thì làm sao quản lý, khi mà không có những thiết bị mạng chuyên dụng (Cisco Switch chằng hạn), dành cho doanh nghiệp??

về dhcp: nếu như ai đó cấu hình ip tĩnh thì làm sao mà theo dõi thông qua dhcp? Giải pháp kiểm soát việc plug/unplug 01 máy thông qua dhcp chỉ là phụ, cho những giải pháp khác.

đề xuất 02 cách:
- Chỉnh lại firewall, chỉ cho phép các IP hiện tại vào Internet và mở những kết nối cần thiết để liên lạc với các subnet khác trong mạng cty. Khi đó nếu như 01 máy mới được cắm vào, thì sẽ không thể kết nối đến bất kỳ máy nào, ngoại trừ các kết nối trong cùng 01 subnet.
- Dựng 01 proxy server, cũng chỉ cho phép các IP hiện tại vào Internet. Hoặc nên tìm 01 proxy server hỗ trợ report tốt trong việc thống kê truy cập của các IP. Dựa vào điều này để biết IP nào mới sử dụng proxy, ip nào đã sử dụng từ lâu.

02 cách trên đều có hạn chế là không thể kiểm soát truy cập từ các máy mới đến các máy trong cùng mạng. Chỉ làm được chuyện này nếu có thiết bị switch chuyên dụng (lại là đồ chuyên dụng), hỗ trợ protocol netflow.

Tất cả các cách, đều sẽ khó phát hiện ra 01 máy mới nếu máy đó cố tình dùng 01 IP đã có trong mạng đó, nếu không dựa vào MAC address.

về logs hả, đó là 01 may mắn khi các sếp giao nhiệm vụ đó cho lQ. Đọc logs riết rồi ghiền luôn, giống như cà phê buổi sáng đó :-P.

[Question] Re: Một số câu hỏi về bảo mật.	28/08/2008 22:40:49 (+0700) \| #14 \| 148763

vikjava
Elite Member

Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline

kenshin8x wrote:

snort dùng để làm gì? nguyên lý hoạt động của nó như thế nào mà có thể đáp ứng nhu cầu trên

Snort là một kiểu IDS (Instruction Detection System). Nói ngắn gọn IDS là một hệ thống được cài đặt trên mạng (hay máy tính) của bạn và nhiệm vụ của nó là giám sát những gói tin vào ra hệ thống của bạn. Nếu một cuộc tấn công được phát hiện bởi Snort thì nó có thể phản ứng bằng nhiều cách khác nhau phụ thuộc vào cấu hình mà bạn thiết lập, chẳng hạn như nó có thể gởi thông điệp cảnh báo đến nhà quản trị hay loại bỏ gói tin khi phát hiện có sự bất thường trong các gói tin đó.

cách sử dụng chi tiết trên win bạn có thể tham khảo tại [url=http://giaiphapantoan.com/downloads/elearning/software/Snort/]Đây
[/url]
hoặc tại trang chủ www.snort.org
bạn có thể tự xây dựng thêm ruler để cảnh báo khi máy khác kết nối vào mạng của bạn. tài liệu bạn có thể tìm trên mạng

Nhu cầu của tớ đâu có cần phải xây dựng IDS. Tớ hỏi nguyên lý hoạt động của nó bởi vì với nhu cầu của tớ thì snort đâu có đáp ứng đuơc.

[Question] Re: Một số câu hỏi về bảo mật.	28/08/2008 23:00:51 (+0700) \| #15 \| 148766

kenshin8x
Member

Joined: 29/11/2006 20:45:54
Messages: 195
Location: ĐH CNTT
Offline

Snort có khả năng snift và tất cả các gói tin truyền trong mạng bạn có thể theo dõi các gói tin được gửi từ ip nào đến ip nào, ở cổng nào => biết các máy nào đang làm gì trong mạng (cái này phải theo dõi thuơng xuyên hoặc dọc log smilie

)
nó có thể cảnh báo cho cho bạn khi một gói tin có dấu hiệu do bạn định nghĩa sẵn trong ruler (ví dụ khi máy khác cắm vào và gủi gói tin yêu cầu cấp ip thì cảnh báo cho bạn)
snort có thể hoạt động theo nhu câu của bạn nếu bạn cấu hình phù hợp không nhất thiết phải hoạt động như một IDS (snort là open souce)
hoặc bạn có thể dùng theo cách của anh IQ

[Question] Re: Một số câu hỏi về bảo mật.	29/08/2008 00:56:39 (+0700) \| #16 \| 148780

vikjava
Elite Member

Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline

lQ wrote:

về MAC: nếu dùng nhiều subnet thì làm sao quản lý, khi mà không có những thiết bị mạng chuyên dụng (Cisco Switch chằng hạn), dành cho doanh nghiệp??

về dhcp: nếu như ai đó cấu hình ip tĩnh thì làm sao mà theo dõi thông qua dhcp? Giải pháp kiểm soát việc plug/unplug 01 máy thông qua dhcp chỉ là phụ, cho những giải pháp khác.

đề xuất 02 cách:
- Chỉnh lại firewall, chỉ cho phép các IP hiện tại vào Internet và mở những kết nối cần thiết để liên lạc với các subnet khác trong mạng cty. Khi đó nếu như 01 máy mới được cắm vào, thì sẽ không thể kết nối đến bất kỳ máy nào, ngoại trừ các kết nối trong cùng 01 subnet.
- Dựng 01 proxy server, cũng chỉ cho phép các IP hiện tại vào Internet. Hoặc nên tìm 01 proxy server hỗ trợ report tốt trong việc thống kê truy cập của các IP. Dựa vào điều này để biết IP nào mới sử dụng proxy, ip nào đã sử dụng từ lâu.

02 cách trên đều có hạn chế là không thể kiểm soát truy cập từ các máy mới đến các máy trong cùng mạng. Chỉ làm được chuyện này nếu có thiết bị switch chuyên dụng (lại là đồ chuyên dụng), hỗ trợ protocol netflow.

Tất cả các cách, đều sẽ khó phát hiện ra 01 máy mới nếu máy đó cố tình dùng 01 IP đã có trong mạng đó, nếu không dựa vào MAC address.

về logs hả, đó là 01 may mắn khi các sếp giao nhiệm vụ đó cho lQ. Đọc logs riết rồi ghiền luôn, giống như cà phê buổi sáng đó :-P.

@IQ
Đa phần là thiết bị cisco nhưng có một vài phòng như phòng traning,phòng đội dự án thì không phải là switch cisco. Đề nghị mua thêm thiết bị để làm vấn đề thứ 2 là một việc chẳng sếp nào duyệt. Tất nhiên nếu nhu cầu cấp thiết thì có thể hoán chuyển switch cisco giữa các tầng để thực hiện dựa vào MAC address. Nhưng đó có thể là giải pháp cuối cùng.

Về 2 đề xuất của anh IQ :
- Đúng là bên em chia ra rất nhiều subnet và subnet của thằng dự án là "trùm". Nó có thể truy xuat toàn bộ hệ thống khá lớn.
- Triển khai proxy thì em có đề xuất dùng thằng isa server triển khai proxy trên isa.Truy xuất phải có user và pass. Nhưng giải pháp này sêp có vẻ thấy không tối ưu nhất. Bản thân em thì thấy thằng này là tối ưu rùi

Về việc dùng dhcp thì chẳng lẽ suốt ngày cứ mở dhcp lên và theo dõi một việc như thề này.

@protectHat: mô hình mạng bên tớ từa lưa hết smilie

kenshin8x : tớ chưa dùng snort nhưng nghĩ rằng nó không đáp ứng đươc nhu cầu đưa ra.

02 cách trên đều có hạn chế là không thể kiểm soát truy cập từ các máy mới đến các máy trong cùng mạng. Chỉ làm được chuyện này nếu có thiết bị switch chuyên dụng (lại là đồ chuyên dụng), hỗ trợ protocol netflow.

Tất cả các cách, đều sẽ khó phát hiện ra 01 máy mới nếu máy đó cố tình dùng 01 IP đã có trong mạng đó, nếu không dựa vào MAC address. -->> tớ nghĩ đây là cái khó của vấn đề nè

[Question] Re: Một số câu hỏi về bảo mật.	29/08/2008 00:59:17 (+0700) \| #17 \| 148781

vikjava
Elite Member

Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline

Hi vọng sẽ có một topic anh IQ chia sẽ kinh nghiệm về log. smilie

[Question] Re: Một số câu hỏi về bảo mật.	29/08/2008 09:17:21 (+0700) \| #18 \| 148851

beo_beo37
Member

Joined: 08/06/2007 14:04:27
Messages: 550
Location: 255.255.255.255
Offline

Hi vikjava

Việc chặn ra Internet mà không có đồ Cisco cũng đâu có gì phức tạp smilie

1. Bắt tất cả các máy trong công ty Join Domain ==> mỗi người sẽ có 1 account login vào máy===>tạo ra 1 group abc và add tất cả member vào group này. Có 1 chú làm ISA smilie

, trên ISA tạo 1 rule cho phép group này ra Internet còn lại Deny tuốt .
2. Nếu không dùng kiểu Domain thì cũng chơi với 1 con ISA và 1 con làm DHCP server.
DHCP server có phần gán IP theo địa chỉ MAC và bảo đảm MAC đó sẽ được gán với IP đó.
Ví dụ ta sẽ có 1 dải từ 192.168.1.4 - 192.168.1.80 thì trên ISA tạo 1 rule chỉ cho phép dải IP này ra Internet và còn lại là Deny.

ISA làm được nhiều việc lắm chứ smilie

Mr.Beo

[Question] Re: Một số câu hỏi về bảo mật.	29/08/2008 10:55:25 (+0700) \| #19 \| 148862

vikjava
Elite Member

Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline

@beo_beo37:
Tất nhiên sẽ dùng AD để quản lý tập trung. Nhưng có những phòng ,những bộ phận vào AD chăng để làm gì. Việc 1 thằng nào đó cắm dây vô mạng ,cấu hình ip nhưng vẫn không truy xuất internet,subnet khác được là điều bình thường. Tạo 1 con DC,cài một DHCP chỉ để quản lý cái phòng dự án là điều không khả thi. Mà nói thât môt thằng nào đó trong phòng này la làng lên bất tiện nó không làm việc được thì mấy thằng network như tui chạy thí mồ smilie

Thật ra vấn đề này đươc đặt ra không chỉ cho phòng dự án không, các chi nhánh cũng cần triển khai vấn đề này. Môt chi nhánh có 5 tầng chẳng lẻ cần 6 cái switch cisco. Chẳng lẻ mỗi chi nhánh phải cài ISA,DHCP. Mà qua ISA gói tin bị lọc sẽ gây độ trễ cho ứng dụng.

[Question] Re: Một số câu hỏi về bảo mật.	29/08/2008 12:24:33 (+0700) \| #20 \| 148894

pnco
HVA Friend

Joined: 24/06/2005 16:33:48
Messages: 515
Offline

Ở chỗ mình thường làm thế này:
- Trên switch shutdown tất cả port nào không dùng, khi nào có thằng nào nộp tiền cho mình thì mình no shut 1 port nào đấy cho dùng, khi không nộp tiền nữa thì mình lại shutdown smilie

[Question] Re: Một số câu hỏi về bảo mật.	29/08/2008 12:55:47 (+0700) \| #21 \| 148898

jus1one
Member

Joined: 01/01/2008 23:06:06
Messages: 81
Offline

liệu có dùng SNMP trong trường hợp này được không?

[Question] Re: Một số câu hỏi về bảo mật.	29/08/2008 21:59:48 (+0700) \| #22 \| 148907

lQ
Moderator

Joined: 29/03/2005 17:06:20
Messages: 494
Offline

vikjava wrote:

@beo_beo37:
Tất nhiên sẽ dùng AD để quản lý tập trung. Nhưng có những phòng ,những bộ phận vào AD chăng để làm gì. Việc 1 thằng nào đó cắm dây vô mạng ,cấu hình ip nhưng vẫn không truy xuất internet,subnet khác được là điều bình thường. Tạo 1 con DC,cài một DHCP chỉ để quản lý cái phòng dự án là điều không khả thi. Mà nói thât môt thằng nào đó trong phòng này la làng lên bất tiện nó không làm việc được thì mấy thằng network như tui chạy thí mồ

Thì ra là muốn quản lý truy cập của 01 phòng (dự án). Nên xem lại quyền truy cập của phòng này. Ít nhất, nó không có quyền remote / kết nối NetBIOS đến phòng tin học.

DHCP không nên dùng cho mục đích kiểm soát việc máy tính cắm / rút dây mạng. Nhưng cũng nên triển khai nó, vì sự tiện ích khi một máy di chuyển vị trí và đổi subnet.

vikjava wrote:

Thật ra vấn đề này đươc đặt ra không chỉ cho phòng dự án không, các chi nhánh cũng cần triển khai vấn đề này. Môt chi nhánh có 5 tầng chẳng lẻ cần 6 cái switch cisco. Chẳng lẻ mỗi chi nhánh phải cài ISA,DHCP. Mà qua ISA gói tin bị lọc sẽ gây độ trễ cho ứng dụng.

Có 02 vấn đề mới đây:
- Sao không kết nối các chi nhánh về trung tâm, cho dễ quản lý? Tìm hiểu về MegaWAN xem sao.
- 01 chi nhánh ko cần 06 cái sw. Tiếp tục tìm hiểu về VLAN.

[Question] Re: Một số câu hỏi về bảo mật.	29/08/2008 22:10:20 (+0700) \| #23 \| 148912

vikjava
Elite Member

Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline

@anh IQ: từ chi nhánh về trung tâm tới 3 đường lận. Về vấn đề VLAN thì em có tìm hiểu, ý em là giải pháp đưa ra là giái pháp tổng thể,trong khi đó thiết bị chuyên dụng như cisco không phải đươc đồng bộ.

Phòng này có mọi quyền truy cập đến tất cả các subnet trong một hệ thống mạng khá lớn. Ngừoi xử dụng có quyền admin để chạy một số ứng dụng chuyên dùng. Tất nhiên sẽ quản lý thằng này theo địa chỉ MAC address,nhưng chẳng hạn một cái chi nhánh khoảng 300 nhân viên, quản lý 300 MAC smilie

.
p/s: đầu tiên phải test tại phòng này sau đo mới đem ứng dụng toàn hệ thống. Một vài khó khăn là thế

Thân!

Go to:

Users currently in here
1 Anonymous