Tweet
6.2.2.4 HTTP – TCP port 80
Một HTTP server được tích hợp trong IOS để cho phép quàn trị từ xa Switch thong quan một interface wed. Nếu không cần thiết quản trị Switch trên wed-base thì ta tắt HTTP server bằng dòng lệnh sau:
Switch(config)# no ip http server
Nếu cẩn việc quản trị Switch tren web-base, thì nên hạn chế việc truy nhập HTTP vào Swtich. Cấu hình access-list cơ bản (vd:11) cho phép mà cho phép chỉ duy nhất hệ thống của người quản trị được tạo kết nối và áp dụng access-list này tới dịch vụ HTTP trên Switch. Cuối cùng sử dụng dòng lệnh ip http authentication local để bật tính năng kiểm tra tài khoàn tại những lúc đăng nhập cái đó sẽ nhắc nhở cho một username và một password.
Switch(config)# no access-list 11
Switch(config)# access-list 11 remark Permit HTTP access from administrators’ systems
Switch(config)# access-list 11 permit host 10.1.6.1 log Switch(config)# access-list 11 permit host 10.1.6.2 log Switch(config)# access-list 11 deny any log Switch(config)# ip http server
Switch(config)# ip http access-class 11
Switch(config)# ip http authentication local
Chú ý web browers sử dụng cho việc quản trị vì vậy thông tin cấu hình quan trọng luư trong bộ đệm (vd: password). Vì thế nên đảm bảo rằng bộ đệm được xóa định kì.
6.2.2.5 Simple Network Management Protocol (SNMP) – TCP port 161,162.
SNMP là dịch vụ đã được thực hiện cho chức năng quản lí mạng sử dụng cấu trúc dữ liệu gọi là Manegement Information Base (MIB). Không may, một phiên bản SNMP đang phổ biến rộng rãi thì lại không an toàn, nó sử dụng hoàn toàn bằng clear-text cho sự truy nhập thông tin trên Switch và bao gồm cà file cấu hình của nó.
Nếu dịch vụ SNMP không cần sử dụng thì những dòng lệnh sau sẽ tắt dịch này:
Switch(config)# no snmp-server community
witch(config)# no snmp-server enable traps
Switch(config)# no snmp-server system-shutdown
Switch(config)# no snmp-server
Nếu SNMP được yêu cầu trên Switch, thì cấu hình trên Switch với SNMP version 3. Phiên bản này thì an toàn hơn phiên bản 1 vì phiên bản 3 có thể sử dụng cryptographic hashes cho việc chứng thực để bảo vệ cho toàn bộ cho community strings. Những dòng lệnh ở trên để vô hiệu hoá SNMP thì khuyến cáo rằng trước khi triển khai SNMP phiên bản 3 thì nên xoá bất kì community strings nào.
Sau đây là những dòng lệnh sử dụng User security Model trên Switch SNMP phiên bản 3. Mô hình bắt đầu vói việc tạo ra standard access-list cho phép duy nhất những hệ thống đó quản lí Switch. Tiếp theo là tạo ra một nhóm (vd: admin) với quyền đọc và viết MIB(vd: adminview). Rồi trên mỗi người dùng được thêm vào nhóm(root) với một mật khẩu(5ecrect-5TRN1) cái đó có thể được mã hoá hashed (md5) trước khi được gửi tới mạng bên kia. Đồng thời standard access-list được áp dụng tới từng ngưòi dung. Cuối cùng, MIB view được định nghĩa bởi một hoặc nhiều các khai báo bao gồm hoặc loại bỏ những phần cua MIB. MIB view trong ví dụ sau cho phép vào nhánh Internet của MIB trừ những nhánh địa chỉ IP và thong tin IP routing.
Switch(config)# no access-list 12
Switch(config)# access-list 12 permit 10.1.6.1
Switch(config)# access-list 12 permit 10.1.6.2
Switch(config)# snmp-server group admins v3 auth read adminview write adminview
Switch(config)# snmp-server user root admins v3 auth md5 5ecret-5TR1N
access 12
Switch(config)# snmp-server view adminview internet included Switch(config)# snmp-server view adminview ipAddrEntry excluded Switch(config)# snmp-server view adminview ipRouteEntry excluded
Nếu SNMP được đòi hỏi trên Switch và chỉ sẵn có SNMP phiên bàn 1 duy nhất, thì ví dụ sau cho thấy làm thế nào để cấu hình Switch với community string ( good-5tr1n9)cái đó được phép đọc và áp đặt
standard access-list trên nó.
Switch(config)# no access-list 12
Switch(config)# access-list 12 permit 10.1.6.1
Switch(config)# access-list 12 permit 10.1.6.2
Switch(config)# snmp-server community g00d-5tr1n9 ro 12
Ngoài việc cấu hình dịch vụ SNMP,thông tin Trap SNMP có thể gửi đến hệ thống quản lí Switch. Ví dụ sau cho thấy việc cấu hình này.
Switch(config)# snmp-server host 10.1.6.1 traps g00d-5tr1n9-2
Switch(config)# snmp-server host 10.1.6.2 traps g00d-5tr1n9-2
Switch(config)# snmp-server trap-source Loopback0
Switch(config)# snmp-server enable traps
Một HTTP server được tích hợp trong IOS để cho phép quàn trị từ xa Switch thong quan một interface wed. Nếu không cần thiết quản trị Switch trên wed-base thì ta tắt HTTP server bằng dòng lệnh sau:
Switch(config)# no ip http server
Nếu cẩn việc quản trị Switch tren web-base, thì nên hạn chế việc truy nhập HTTP vào Swtich. Cấu hình access-list cơ bản (vd:11) cho phép mà cho phép chỉ duy nhất hệ thống của người quản trị được tạo kết nối và áp dụng access-list này tới dịch vụ HTTP trên Switch. Cuối cùng sử dụng dòng lệnh ip http authentication local để bật tính năng kiểm tra tài khoàn tại những lúc đăng nhập cái đó sẽ nhắc nhở cho một username và một password.
Switch(config)# no access-list 11
Switch(config)# access-list 11 remark Permit HTTP access from administrators’ systems
Switch(config)# access-list 11 permit host 10.1.6.1 log Switch(config)# access-list 11 permit host 10.1.6.2 log Switch(config)# access-list 11 deny any log Switch(config)# ip http server
Switch(config)# ip http access-class 11
Switch(config)# ip http authentication local
Chú ý web browers sử dụng cho việc quản trị vì vậy thông tin cấu hình quan trọng luư trong bộ đệm (vd: password). Vì thế nên đảm bảo rằng bộ đệm được xóa định kì.
6.2.2.5 Simple Network Management Protocol (SNMP) – TCP port 161,162.
SNMP là dịch vụ đã được thực hiện cho chức năng quản lí mạng sử dụng cấu trúc dữ liệu gọi là Manegement Information Base (MIB). Không may, một phiên bản SNMP đang phổ biến rộng rãi thì lại không an toàn, nó sử dụng hoàn toàn bằng clear-text cho sự truy nhập thông tin trên Switch và bao gồm cà file cấu hình của nó.
Nếu dịch vụ SNMP không cần sử dụng thì những dòng lệnh sau sẽ tắt dịch này:
Switch(config)# no snmp-server community
witch(config)# no snmp-server enable traps
Switch(config)# no snmp-server system-shutdown
Switch(config)# no snmp-server
Nếu SNMP được yêu cầu trên Switch, thì cấu hình trên Switch với SNMP version 3. Phiên bản này thì an toàn hơn phiên bản 1 vì phiên bản 3 có thể sử dụng cryptographic hashes cho việc chứng thực để bảo vệ cho toàn bộ cho community strings. Những dòng lệnh ở trên để vô hiệu hoá SNMP thì khuyến cáo rằng trước khi triển khai SNMP phiên bản 3 thì nên xoá bất kì community strings nào.
Sau đây là những dòng lệnh sử dụng User security Model trên Switch SNMP phiên bản 3. Mô hình bắt đầu vói việc tạo ra standard access-list cho phép duy nhất những hệ thống đó quản lí Switch. Tiếp theo là tạo ra một nhóm (vd: admin) với quyền đọc và viết MIB(vd: adminview). Rồi trên mỗi người dùng được thêm vào nhóm(root) với một mật khẩu(5ecrect-5TRN1) cái đó có thể được mã hoá hashed (md5) trước khi được gửi tới mạng bên kia. Đồng thời standard access-list được áp dụng tới từng ngưòi dung. Cuối cùng, MIB view được định nghĩa bởi một hoặc nhiều các khai báo bao gồm hoặc loại bỏ những phần cua MIB. MIB view trong ví dụ sau cho phép vào nhánh Internet của MIB trừ những nhánh địa chỉ IP và thong tin IP routing.
Switch(config)# no access-list 12
Switch(config)# access-list 12 permit 10.1.6.1
Switch(config)# access-list 12 permit 10.1.6.2
Switch(config)# snmp-server group admins v3 auth read adminview write adminview
Switch(config)# snmp-server user root admins v3 auth md5 5ecret-5TR1N
access 12
Switch(config)# snmp-server view adminview internet included Switch(config)# snmp-server view adminview ipAddrEntry excluded Switch(config)# snmp-server view adminview ipRouteEntry excluded
Nếu SNMP được đòi hỏi trên Switch và chỉ sẵn có SNMP phiên bàn 1 duy nhất, thì ví dụ sau cho thấy làm thế nào để cấu hình Switch với community string ( good-5tr1n9)cái đó được phép đọc và áp đặt
standard access-list trên nó.
Switch(config)# no access-list 12
Switch(config)# access-list 12 permit 10.1.6.1
Switch(config)# access-list 12 permit 10.1.6.2
Switch(config)# snmp-server community g00d-5tr1n9 ro 12
Ngoài việc cấu hình dịch vụ SNMP,thông tin Trap SNMP có thể gửi đến hệ thống quản lí Switch. Ví dụ sau cho thấy việc cấu hình này.
Switch(config)# snmp-server host 10.1.6.1 traps g00d-5tr1n9-2
Switch(config)# snmp-server host 10.1.6.2 traps g00d-5tr1n9-2
Switch(config)# snmp-server trap-source Loopback0
Switch(config)# snmp-server enable traps