Bảo mật thiết bị trong cài đặt mạng Cisco

1. Vì sao cần bảo mật thiết bị ngay từ khâu cài đặt?


Nhiều người nghĩ bảo mật là cài đặt tường lửa, IDS/IPS… nhưng thật ra bảo mật bắt đầu ngay từ khi lắp đặt và cấu hình thiết bị.
Một router hay switch nếu bị truy cập vật lý hoặc đặt sai mật khẩu, hacker có thể chiếm quyền điều khiển toàn bộ mạng chỉ trong vài phút! 2. Bảo mật vật lý cho thiết bị mạng

Thiết bị rủi ro thấp: thường là các router, switch nhỏ (Cisco 800/1700) trong văn phòng, SOHO. Rủi ro chủ yếu đến từ thao tác sai hoặc lỗi cáp.
Thiết bị rủi ro cao: là router, switch, firewall trong trung tâm dữ liệu hoặc hệ thống lớn. Nếu bị tấn công – hậu quả là mất Internet, rò rỉ dữ liệu, hoặc dừng toàn bộ hoạt động.
Các biện pháp bảo mật vật lý cần thiết:

• Hạn chế truy cập trực tiếp vào thiết bị và phòng máy.

• Có camera giám sát, kiểm soát người ra vào.

• Giám sát nhiệt độ, độ ẩm, nguồn điện, nhiễu điện.

• Lắp UPS và máy phát dự phòng.

• Dán nhãn cáp, sắp xếp gọn gàng.

• Thực hiện quy trình ESD (chống tĩnh điện) khi thay thiết bị.

3. Bảo mật truy cập và mật khẩu thiết bị

Các cổng truy cập cần bảo mật:

• Console: cổng cấu hình trực tiếp.

• Telnet/SSH: quản lý từ xa.

• AUX: truy cập qua modem.

Quy tắc đặt mật khẩu an toàn:

• Tối thiểu 10 ký tự, gồm chữ hoa, thường, số và ký tự đặc biệt.

• Không dùng từ dễ đoán (vd: admin, cisco123).

• Thay mật khẩu định kỳ.

• Dùng lệnh:
  enable secret <password> → mã hóa MD5
  service password-encryption → mã hóa toàn bộ mật khẩu text

Vô hiệu hóa khả năng khôi phục mật khẩu trái phép:


no service password-recovery

→ Ngăn người khác dùng lệnh BREAK để vào ROMMON chiếm quyền thiết bị. Cấu hình timeout cho phiên truy cập:


line console 0
exec-timeout 3 0

→ Tự động logout sau 3 phút không thao tác. 4. Giới hạn truy cập từ xa & theo dõi đăng nhập

• Giới hạn IP được phép Telnet/SSH bằng Access-Class.

• Ghi log khi nhập sai mật khẩu nhiều lần:
  security authentication failure rate 5 log

• Hiển thị banner cảnh báo bảo mật khi người lạ truy cập:
  banner login #
  CẢNH BÁO: Truy cập trái phép sẽ bị ghi nhận và xử lý!
  #

5. Giới thiệu mô hình bảo mật AAA (Authentication, Authorization, Accounting)

• Authentication: xác thực danh tính người dùng (qua username/password, token, RADIUS, TACACS+).

• Authorization: phân quyền thao tác – ai được cấu hình, ai chỉ được xem log.

• Accounting: ghi nhận toàn bộ hành động người dùng để truy vết khi cần.

AAA giúp quản trị viên kiểm soát ai đăng nhập – làm gì – lúc nào, tăng mức độ an toàn và minh bạch trong quản trị mạng. 6. Kết luận


Bảo mật thiết bị Cisco không chỉ là firewall hay VPN, mà bắt đầu ngay từ:
Cách lắp đặt thiết bị
Đặt mật khẩu và giới hạn quyền truy cập
Ghi log, cảnh báo, và phân quyền rõ ràng
Nếu bạn muốn nắm chắc kiến thức này, học cách cấu hình bảo mật router/switch, SSH, ACL, AAA và thực hành lab trên thiết bị Cisco thật, hãy đăng ký ngay khóa học CCNA tại VnPro – nền tảng để trở thành Network Engineer chuyên nghiệp!

#CCNA #Cisco #Networking #Security #VnPro #NetworkEngineer​