TỔNG QUAN VỀ QUẢN TRỊ VÀ AN NINH THÔNG TIN TRÊN INTERNET
Giao thức và dịch vụ Internet
Bộ giao thức là tập hợp các giao thức cho phép truyền thông mạng giữa các host Giao thức mô tả các quy tắc và tiêu chuẩn điều khiển hoạt động thông tin của thiết bị trên mạng, xác định định dạng, định thời, tuần tự và kiểm soát lỗi trong truyền số liệu Nếu không có giao thức, máy tính không thể tạo ra hoặc tái tạo luồng bít từ máy tính khác Các giao thức kiểm soát mọi khía cạnh của hoạt động truyền số liệu.
- Mạng vật lý được xây dựng như thế nào.
- Các máy tính được kết nối đến mạng như thế nào.
- Số liệu được định dạng như thế nào để truyền.
- Số liệu được truyền như thế nào.
- Đối phó với lỗi như thế nào.
Hình 1.1: Giao thức truyền thông trên máy tính
Các luật mạng được phát triển và duy trì bởi nhiều tổ chức và hiệp hội khác nhau, bao gồm IEEE, ANSI, TIA/EIA và ITU-T (trước đây là CCITT).
1.1.1 Giới thiệu giao thức TCP/IP
Giao thức TCP/IP (Transmission Control Protocol/Internet Protocol) là bộ giao thức thiết yếu cho việc kết nối các hệ thống mạng khác nhau Hiện nay, TCP/IP được áp dụng phổ biến trong các mạng cục bộ và trên toàn cầu Internet TCP/IP được coi là phiên bản đơn giản hóa của mô hình tham chiếu OSI, bao gồm bốn tầng cơ bản.
+ Tầng liên kết mạng (Network Access Layer)
+ Tầng giao vận (Host-To-Host Transport Layer)
+ Tầng ứng dụng (Application Layer)
Hình 1.2 Kiến trúc TCP/IP
Tầng liên kết, hay còn gọi là tầng liên kết dữ liệu hoặc tầng giao tiếp mạng, là tầng thấp nhất trong mô hình TCP/IP Tầng này bao gồm các thiết bị giao tiếp mạng và các chương trình cung cấp thông tin cần thiết để hoạt động, cho phép truy cập vào đường truyền vật lý thông qua thiết bị giao tiếp mạng.
Bài viết này đề cập đến các công nghệ mạng như LAN và WAN, cùng với các chi tiết quan trọng liên quan đến lớp vật lý và lớp liên kết dữ liệu trong mô hình OSI.
Lớp liên kết xác định các quy trình giao tiếp với phần cứng mạng và truy cập vào môi trường truyền tải Các tiêu chuẩn giao thức modem như SLIP (Serial Line Internet Protocol) và PPP (Point-To-Point Protocol) cho phép kết nối mạng qua modem, đảm bảo việc truy xuất hiệu quả.
- ATM, Frame Relay và SMDS
Hình 1.3: Các giao thức thuộc lớp Network Access
Lớp truy nhập mạng có chức năng ánh xạ địa chỉ IP sang địa chỉ vật lý và thực hiện đóng gói các gói IP thành frame Dựa vào loại phần cứng và giao thức mạng, lớp này sẽ thiết lập kết nối với đường truyền vật lý của mạng.
Tầng Internet, hay còn gọi là tầng mạng, chịu trách nhiệm xử lý quá trình truyền tải gói tin trên mạng Các giao thức chính của tầng này bao gồm IP (Internet Protocol), ICMP (Internet Control Message Protocol) và IGMP (Internet Group Message Protocol) Mục tiêu của tầng Internet là xác định đường dẫn tối ưu cho các gói tin di chuyển tới đích, với Internet Protocol là giao thức chủ yếu hoạt động tại đây Việc xác định lộ trình tốt nhất và chuyển gói tin diễn ra tại lớp này.
Internet Protocol (IP) Internet Control Message Protocol (ICMP) Address Ressulation Protocol (ARP) Reverse Address Ressulation Protocol (RARP)
Hình 1.4: Các giao thức tại lớp Internet
IP cung cấp kết nối không liên kết và thực hiện định tuyến chuyển phát gói dựa trên nguyên tắc nỗ lực tốt nhất Giao thức IP không chú trọng đến nội dung của các gói tin mà chỉ tập trung vào việc tìm kiếm đường dẫn hiệu quả để gửi gói đến đích.
- ICMP (Internet Control Message Protocol): đem đến khả năng điều khiển và chuyển thông điệp.
- ARP (Address Ressulation Protocol): xác định địa chỉ lớp liên kết số liệu (MAC address) khi biết trước địa chỉ IP.
- RARP (Reverse Address Ressulation Protocol): xác định các địa chỉ IP khi biết trước địa chỉ MAC.
IP thực hiện các hoạt động sau:
+ Định nghĩa một gói là một lược đồ đánh địa chỉ.
+ Trung chuyển số liệu giữa lớp Internet và lớp truy nhập mạng.
+ Định tuyến chuyển các gói đến host ở xa.
Tầng giao vận đóng vai trò quan trọng trong việc quản lý luồng dữ liệu giữa các trạm, hỗ trợ các ứng dụng của tầng trên Hai giao thức chính được sử dụng trong tầng này là TCP (Transmission Control Protocol) và UDP (User Datagram Protocol), mỗi giao thức có những đặc điểm và ứng dụng riêng, giúp tối ưu hóa việc truyền tải dữ liệu.
TCP cung cấp luồng dữ liệu tin cậy giữa hai trạm bằng cách chia nhỏ các gói tin từ tầng trên thành kích thước phù hợp cho tầng mạng bên dưới Nó sử dụng cơ chế báo nhận gói tin và thiết lập thời gian time-out để đảm bảo bên nhận nhận biết được các gói tin đã được chuyển đi Nhờ vào tính tin cậy mà tầng TCP mang lại, tầng trên không cần phải lo lắng về việc truyền tải dữ liệu.
UDP cung cấp một dịch vụ đơn giản cho tầng ứng dụng bằng cách gửi các gói tin dữ liệu giữa các trạm mà không đảm bảo chúng đến được đích Do đó, các cơ chế đảm bảo độ tin cậy cần được thực hiện bởi các tầng ứng dụng phía trên.
(TCP) Conection – Oriented User Datagram Protocol (UDP)
Hình 1.5: Các giao thức thuộc lớp Transport
Tầng ứng dụng trong mô hình TCP/IP là lớp trên cùng, bao gồm các tiến trình và ứng dụng giúp người dùng truy cập mạng Lớp này kiểm soát các giao thức lớp cao, cũng như các vấn đề liên quan đến trình bày, biểu diễn thông tin, mã hóa và điều khiển hội thoại.
Tầng ứng dụng cung cấp nhiều dịch vụ quan trọng, bao gồm Telnet cho truy cập mạng từ xa, FTP (Giao thức Truyền tệp) để truyền tải tệp, dịch vụ Email cho thư tín điện tử, và WWW (World Wide Web) để truy cập thông tin trực tuyến.
Hình 1.6: Các giao thức thuộc lớp Applicat ion Ý nghĩa của một số dịch vụ:
File Transfer Protocol (FTP) is a reliable, connection-oriented service that utilizes TCP to transfer files between systems that support FTP It facilitates both two-way binary file transfers and the uploading of ASCII files.
Các mô hình quản trị mạng SNMP
Giao thức TCP/IP trên nền Ethernet hiện đang rất phổ biến trong lĩnh vực truyền thông Thành công của các công nghệ Ethernet được thúc đẩy bởi sự hợp tác tích cực trong việc phát triển các tiêu chuẩn chung Điều này không chỉ tạo ra sức mạnh mới mà còn tận dụng hạ tầng sẵn có như hệ thống cáp, kiến trúc mạng, định dạng gói tin và các trình điều khiển đã được cài đặt trong các mạng Ethernet hiện tại.
Quản lý mạng ngày càng trở nên phức tạp do quy mô mạng lớn và sự phân tán của các module quản lý riêng biệt Để cải thiện hiệu quả quản lý, xu hướng tương lai là tập trung hóa hệ thống quản lý mạng bằng cách tích hợp tất cả các phần tử mạng vào một cơ sở dữ liệu chung, giúp nhiều quản trị viên có thể truy cập và quản lý dễ dàng hơn.
SNMP (Simple Network Management Protocol) là giao thức quản lý mạng phổ biến trên mạng TCP/IP Bài viết này sẽ giới thiệu hai mô hình quản lý mạng điển hình sử dụng giao thức SNMP.
1.2.1 Quản lý mạng Microsoft sử dụng SNMP
Các mô hình quản lý mạng truyền thống chạy trên hệ điều hành của Microsoft đa số sử dụng giao thức SNMP, trong đó chia làm 4 thành phần:
• Nút được quản lý (managed node)
• Trạm quản lý (management station)
• Thông tin quản lý (management information)
• Giao thức quản lý (management protocol)
Quản lý mạng Microso ft sử dụng SNMP
Nút được quản lý trong mạng bao gồm máy tính, bộ định tuyến, bộ chuyển mạch, cầu nối, máy in và các thiết bị mạng khác có khả năng giao tiếp với mạng bên ngoài Mỗi nút này chạy phần mềm quản lý được gọi là SNMP agent, và mỗi agent duy trì một cơ sở dữ liệu cục bộ chứa các biến mô tả trạng thái, lịch sử và các tác vụ ảnh hưởng đến nó.
Trạm quản lý là một thành phần quan trọng trong mạng, nơi chứa một hoặc nhiều tiến trình để giao tiếp với agent, phát lệnh và nhận kết quả Hình 1.11 minh họa mô hình quản lý mạng của Microsoft sử dụng giao thức SNMP.
Cơ sở dữ liệu MIB (Management Information Base) là tập hợp tất cả các đối tượng trong một mạng, định nghĩa các biến cần thiết mà các phần tử mạng phải duy trì.
Trạm quản lý tương tác với agent thông qua giao thức SNMP, bao gồm 5 tác vụ được mã hóa trong các đơn vị dữ liệu PDU riêng biệt Những đơn vị này được truyền qua mạng bằng giao thức UDP, đảm bảo quá trình giao tiếp hiệu quả.
• Get-request: lấy giá trị của một hoặc nhiều biến.
• Get-next-request: lấy giá trị của biến kế tiếp.
• Set-request: đặt giá trị của một hoặc nhiều biến.
• Get-response: trả về giá trị của một hoặc nhiều biến sau khi phát lệnh get- request hoặc get-next-request, hoặc set- request.
• Trap: gửi cảnh báo cho agent quản lý khi có biến cố xảy ra trên máy agent. get-request, get-next-request, set-request get-respone trap
Hình 1.12: Các tác vụ SNMP
Hình 1.12 mô tả năm tác vụ giao tiếp giữa agent quản lý và máy agent, trong đó giao thức SNMP sử dụng cổng 161 cho các lệnh get-request, get-next-request, set-request và get-response, trong khi lệnh trap sử dụng cổng 162 Để hiểu rõ hơn về cách thức hoạt động của SNMP, hãy xem ví dụ trong hình 1.13.
Giả sử có một ứng dụng quản lý SNMP chạy trên máy host 1 yêu cầu số phiên kích hoạt từ một máy Microsoft SNMP agent là host 2.
Trình quản lý SNMP gửi yêu cầu qua cổng UDP 161 bằng cách sử dụng tên máy (host name), và tên máy này được phân giải thông qua các file HOST, DNS hoặc WINS.
+ Một message SNMP chứa lệnh get-request phát ra để phát hiện số phiên kích hoạt với tên community name là public.
Máy host 2 nhận thông điệp và xác minh tên nhóm làm việc chung Nếu tên nhóm không chính xác hoặc thông điệp bị hỏng, yêu cầu từ máy host 1 sẽ bị hủy bỏ Ngược lại, nếu tên nhóm đúng và thông điệp hợp lệ, máy host 2 sẽ kiểm tra địa chỉ IP để đảm bảo quyền truy cập thông điệp từ agent host 1.
+ Sau đó, phiên kích hoạt được tạo (ví dụ là phiên số 7) và trả thông tin về cho agent quản lý SNMP.
Hình 1.13: Cách thức SNMP làm việc Nhược điểm:
SNMP sử dụng giao thức UDP vì 4 trong 5 thông điệp SNMP là các nghi thức hồi đáp đơn giản, trong đó agent gửi yêu cầu và máy agent phản hồi kết quả Điều này dẫn đến khả năng yêu cầu từ agent không đến được máy agent, hoặc hồi đáp từ máy agent không quay về cho agent Do đó, agent cần thiết lập thời gian hết hạn (timeout) và cơ chế phát lại để đảm bảo tính hiệu quả trong quá trình giao tiếp.
Quản lý mạng sử dụng SNMP thường có mức bảo mật thấp do dữ liệu không được mã hóa Hơn nữa, không có các thiết lập cụ thể để ngăn chặn truy cập mạng trái phép, đặc biệt khi tên community name và địa chỉ IP có thể bị lợi dụng để gửi yêu cầu giả mạo tới agent.
Quản lý mạng sử dụng SNMP gặp khó khăn trong việc chuyển đổi giữa các kiến trúc khác nhau do cấu trúc thông tin quản lý của SNMP chỉ hỗ trợ một số kiểu dữ liệu hạn chế.
1.2.2 Quản lý mạng trên môi trường Java
Sun Microsystem đã phát triển một phương thức quản lý mạng dựa trên môi trường Java, sử dụng giao thức SNMP cho quản lý mạng Kiến trúc này bao gồm hai thành phần chính: trình duyệt quản lý trên hệ thống NMS và các máy Java thông minh, gọi là agent, hoạt động trên các phần tử mạng Dữ liệu trao đổi giữa trình duyệt và agent được định nghĩa qua các lớp đối tượng trong cơ sở dữ liệu MIB hoặc theo cú pháp ASN.1 Thông tin này được mã hóa và truyền tải trên mạng dựa trên quy tắc mã hóa cơ bản BER Hình 1.14 minh họa cơ chế quản lý mạng hỗ trợ Java.
Hình 1.14: Quản lý mạng hỗ trợ Java Ưu điểm:
Trình duyệt và các agent giao tiếp thông qua các chương trình Java được mã hóa dưới dạng byte-code, thực thi qua các trình thông dịch Java có sẵn Do đó, cơ chế mã hóa theo quy tắc BER của SNMP là không cần thiết, vì các lớp Java đã được mã hóa sẵn.
- Các đơn vị dữ liệu PDU được thay bởi các lớp Java để chuyển lệnh và dữ liệu.
- Giao thức UDP/IP được thay bởi giao thức TCP/IP.
- Cơ sở dữ liệu theo chuẩn MIB II được hỗ trợ cho các agent.
- Đặc trưng bảo mật vốn có trong mã Java byte-code cung cấp thêm một vỏ bọc an ninh trong quản lý thông tin xuyên mạng.
1.2.3 Cơ chế quản lý mạng tập trung theo mô hình DEN
Vấn đề bảo đảm an ninh truyền thông trên Internet
1.3.1 Khái niệm về đảm bảo an ninh truyền thông
Mạng Internet hiện nay đã trở nên phổ biến toàn cầu, do đó, việc bảo vệ tài nguyên thông tin trên mạng là vô cùng cần thiết An ninh mạng trở thành một vấn đề cấp bách nhằm ngăn chặn các hacker xâm nhập vào hệ thống, đánh cắp thông tin và gây ra sự cố cho hệ thống Mục tiêu chính của việc đảm bảo an ninh trên mạng là bảo vệ dữ liệu và duy trì hoạt động ổn định của các hệ thống thông tin.
+ Tính bảo mật (confidentiality): Bảo đảm dữ liệu không bị sử dụng bởi người không có thẩm quyền.
+ Tính xác thực (Authentication): Kiểm tra tính hợp pháp của người sử dụng.
+ Tính không thể chối cãi (nonrepudiation): Các thực thể tham gia không thể chối bỏ cam kết.
Tính toàn vẹn của thông tin là yếu tố quan trọng, đảm bảo rằng dữ liệu không bị sai lệch hay sửa đổi Quá trình xử lý, phân tích, tổng hợp và bảo mật thông tin có mối liên hệ chặt chẽ, không thể tách rời Từ khi máy tính ra đời, sự phát triển mạnh mẽ của các hệ thống thông tin đã dẫn đến nhu cầu cấp thiết về các giải pháp bảo mật để bảo vệ an toàn cho hệ thống này.
Chúng ta phải kiểm soát các vấn đề an toàn mạng theo các mức khác nhau đó là:
- Mức mạng: Ngăn chặn kẻ xâm nhập bất hợp pháp vào hệ thống mạng.
- Mức Server: Kiểm soát quyền truy nhập, các cơ chế bảo mật, quá trình nhận dạng người dùng, phân quyền truy cập, cho phép các tác vụ.
- Mức cơ sở dữ liệu: Kiểm soát ai? Được quyền như thế nào? với mỗi cơ sở dữ liệu.
- Mức trường thông tin: Trong mỗi cơ sở dữ liệu kiểm soát được mỗi trường dữ liệu chứa thông tin khác nhau có quyền truy cập khác nhau.
Mức mật mã là quá trình mã hóa toàn bộ file dữ liệu bằng một phương pháp nhất định, chỉ cho phép những người sở hữu “chìa khóa” mới có quyền truy cập và sử dụng file dữ liệu đó.
Gần đây, số vụ xâm nhập trái phép vào hệ thống thông tin qua Internet và Intranet đang gia tăng, chủ yếu do xu hướng chuyển sang môi trường tính toán client/server và sự phát triển của các ứng dụng thương mại điện tử Việc hình thành các mạng Intranet trong các công ty, cùng với việc áp dụng công nghệ Intranet, đã làm mờ ranh giới giữa Internet và Intranet, tạo ra những nguy cơ mới về an toàn thông tin Ngoài ra, các mối đe dọa không chỉ đến từ bên ngoài mà còn xuất phát từ nội bộ, như sai sót của người sử dụng và ý thức bảo mật kém.
Môi trường mạng phức tạp và đa dạng về người dùng, khiến cho việc đảm bảo an toàn thông tin trở thành một thách thức lớn Để bảo vệ thông tin hiệu quả, cần áp dụng nhiều giải pháp khác nhau, từ cơ bản đến phức tạp, tùy thuộc vào khối lượng thông tin cần bảo vệ và khả năng của từng hệ thống cụ thể.
- Kiểm soát đăng ký tên/mật khẩu truy cập mạng.
- Kiểm soát việc truy nhập tài nguyên mạng và quyền hạn trên tài nguyên đó.
- Mã hoá dữ liệu truyền trên mạng (bảo mật thông tin).
- Ngăn cản truy nhập vật lý bất hợp pháp vào hệ thống (bảo vệ vật lý).
- Sử dụng bức tường lửa (filewall) để ngăn cách mạng nội bộ với thế giới bên ngoài hoặc giữa các mạng nội bộ với nhau.
1.3.4 Các thành phần thường gặp trong bức tường lửa
+ Bộ lọc gói tin (Packet filtering): cho phép hay ngăn cấm các gói tin khi chúng truyền từ mạng này sang mạng khác theo địa chỉ IP.
+ Pháo đài bảo vệ (Bastion host): hệ thống máy tính có an ninh cao đặt ở điểm truy cập vào/ra mạng cần được bảo vệ.
+ Máy phục vụ uỷ quyền (Proxy Server): thay mặt người dùng của mạng được bảo vệ và giao tiếp với các máy dịch vụ ở ngoài mạng được bảo vệ.
Hình 1.16:Mô hình các mức bảo vệ an toàn
GIẢI PHÁP AN NINH MẠNG SNMP
Giao thức quản trị mạng SNMP
SNMP (Simple Network Management Protocol) là giao thức phổ biến dùng để giám sát và điều khiển thiết bị mạng như switch, router và bridge Giao thức này được áp dụng trong nhiều hệ quản trị như Unix, Windows, máy in, modem racks, nguồn điện và các thiết bị khác Trong các văn phòng nhỏ với ít thiết bị mạng, lợi ích của SNMP có thể không rõ ràng, nhưng trong hệ thống mạng lớn với thiết bị phân tán, SNMP cho phép quản lý tập trung hiệu quả Microsoft Windows Server 2003 cung cấp phần mềm SNMP agent, giúp tương tác với phần mềm quản lý SNMP từ bên thứ ba để theo dõi trạng thái của thiết bị và ứng dụng.
Cốt lõi của SNMP là quy trình giám sát thiết bị, giúp nâng cao khả năng quản trị hệ thống mạng SNMP cho phép người quản trị tắt thiết bị ghép nối trên router và kiểm tra tốc độ cổng Ngoài ra, nó cũng có thể cảnh báo khi nhiệt độ của Switch trong hệ thống mạng vượt quá mức an toàn.
SNMP, hay Simple Network Management Protocol, là một giao thức thuộc lớp ứng dụng, được sử dụng để trao đổi thông tin quản lý giữa các thiết bị mạng Giao thức này giúp người quản trị mạng theo dõi hiệu suất, xác định và khắc phục các sự cố, cũng như lập kế hoạch cho sự phát triển của mạng SNMP sử dụng giao thức UDP làm phương tiện vận chuyển dữ liệu.
2.1.1 Giới thiệu giao thức SNMP
The Internet Engineering Task Force (IETF) recognizes the significant role of the Simple Network Management Protocol (SNMP) in Internet network management The IETF has published a series of Requests for Comments (RFCs) where most protocols are primarily based on the Internet Protocol (IP).
Giao thức SNMP được phát triển để quản lý mạng TCP/IP một cách tập trung và đơn giản Nó cho phép người dùng giám sát các thiết bị từ một vị trí duy nhất, truyền tải dữ liệu từ client đến server, nơi dữ liệu được lưu trữ trong log file để phân tích dễ dàng hơn Các ứng dụng sử dụng giao thức SNMP bao gồm Tivoli của IBM, MOM của Microsoft và HP Openview.
Giao thức SNMP (Simple Network Management Protocol) đã nhanh chóng được thị trường chấp nhận, chứng minh ưu điểm vượt trội của nó trong việc quản lý mạng SNMP giúp các quản trị viên xác định và khắc phục sự cố trong môi trường TCP/IP Người quản lý có thể triển khai SNMP client trên máy tính cá nhân để giao tiếp với một hoặc nhiều SNMP server nằm ở xa, thường là các gateway Giao thức này hoạt động theo mô hình fetch-store, trong đó mỗi server duy trì một tập hợp các biến khái niệm để lưu trữ số liệu thống kê đơn giản, như số lượng packet nhận được, cũng như các biến phức tạp liên quan đến cấu trúc dữ liệu TCP/IP, chẳng hạn như RARP cache và các bảng định tuyến IP.
Giao thức SNMP, nằm ở tầng ứng dụng, giúp việc trao đổi thông tin giữa các thiết bị mạng trở nên dễ dàng hơn Nó hoạt động dựa trên tầng UDP của giao thức IP và có 5 lệnh cơ bản: Get-Request, Get-Next-Request, Set-Request, Get-Response và Trap, cho phép trao đổi thông tin hiệu quả giữa trạm quản lý và các agent Cấu trúc đơn giản của SNMP là một ưu điểm lớn, giúp dễ dàng trong việc cài đặt và triển khai.
UDP SNMP Protocol SNMP Agent
Hình 2.1: Lưu đồ giao thức SNMP
- SNMP sử dụng giao thức UDP
UDP là giao thức đối lập với TCP, nổi bật với tốc độ nhanh hơn nhưng không đảm bảo độ tin cậy Việc triển khai và sử dụng UDP đơn giản hơn so với TCP, đồng thời cung cấp nhiều chức năng cho phép một trạm quản lý tập trung giao tiếp với các agent từ xa trên bất kỳ thiết bị nào có thể kết nối Hơn nữa, việc sử dụng UDP giúp giảm độ trễ trong mạng so với TCP.
Trong SNMP, có ba nhân tố chính: NMS, manager và agent Manager là các phần mềm quản lý, chẳng hạn như HP Openview, trong khi agent là phần mềm SNMP hoạt động trên hệ thống máy khách mà bạn đang giám sát.
Hình 2.2: Quá trình hoạt động của SNMP
Manager, hay còn gọi là NMS, có nhiều chức năng quan trọng như báo cáo, lập bản đồ topology mạng và lập tài liệu Ngoài ra, NMS còn cung cấp các công cụ giám sát lưu thông trên mạng, giúp quản lý hiệu quả hơn.
Việc triển khai các ứng dụng giám sát và điều khiển thiết bị là cần thiết để quản lý mạng hiệu quả Nguồn tài nguyên xử lý và bộ nhớ cần thiết cho quản lý mạng được cung cấp bởi Hệ thống Quản lý Mạng (NMS) Mỗi mạng được quản lý đều yêu cầu có một hoặc nhiều NMS hoạt động để đảm bảo quá trình giám sát và điều khiển diễn ra liên tục và hiệu quả.
Các thiết bị được quản lý trong mạng, thường chứa một SNMP agent, đóng vai trò quan trọng trong việc thu thập và lưu trữ thông tin quản lý Những thông tin này sau đó được cung cấp cho các Hệ thống Quản lý Mạng (NMS) thông qua giao thức SNMP Các thiết bị này, hay còn gọi là phần tử quản lý mạng, bao gồm router, access server, switch, bridge, hub, máy chủ máy tính và máy in.
Các agent là các mô-đun phần mềm quản lý mạng được cài đặt trực tiếp trên các thiết bị cần quản lý Chúng sở hữu kiến thức cục bộ về thông tin quản lý mạng và có khả năng chuyển đổi thông tin này sang định dạng tương thích với SNMP.
Các thiết bị được quản lý
Hình 2.3: Mạng được quản lý theo SNMP - Các SNMP Primitive
Bài viết đề cập đến ba primitive chính trong giao thức SNMP: get, get-next và set Manager sử dụng primitive get để nhận thông tin đơn từ agent, trong khi get-next được áp dụng khi có nhiều hơn một item cần thu thập Để khôi phục chuỗi dữ liệu, manager có thể dùng primitive này Primitive set cho phép manager đặt một giá trị cụ thể từ xa trên thiết bị Để phản hồi, manager sử dụng hai primitive là get-response cho các yêu cầu trực tiếp và trap cho các phản hồi không đồng bộ nhằm thu hút sự chú ý của requester Mặc dù các giao dịch SNMP thường do manager khởi xướng, agent cũng có thể sử dụng primitive này để thông báo các sự kiện quan trọng đến manager thông qua trap gửi đến NMS.
Dữ liệu mà agent và manager trao đổi được xác định bởi một cơ sở dữ liệu gọi là MIB MIB là nơi lưu trữ thông tin ảo, được đặt tại agent và có kích thước nhỏ Thông tin thu thập từ agent sẽ được lưu trữ trong MIB.
Các giải pháp xác thực thông tin quản trị
Xác thực đóng vai trò quan trọng trong an ninh quản trị mạng, đặc biệt trong kiến trúc quản trị mạng SNMP Để truy cập vào tài nguyên hệ thống, người sử dụng cần phải được xác thực Dưới đây là một số phương thức xác thực.
PAP (Giao thức xác thực mật khẩu) là một phương thức xác thực đơn giản dựa trên mật khẩu, hoạt động trên các kết nối PPP Tuy nhiên, PAP không an toàn do thông tin xác thực không được mã hóa, khiến kẻ tấn công có khả năng chặn và đọc mật khẩu, từ đó có thể giả mạo người dùng để truy cập vào mạng.
CHAP (Challenge Handshake Authentication Protocol) is an authentication protocol that includes verification and is utilized in PPP connections The implementation of the CHAP authentication method consists of three key steps.
- Bên xác thực gửi thông điệp yêu cầu tới đầu bên kia (user).
- Đầu bên kia tính toán một giá trị bằng cách sử dụng hàm băm một chiều và gửi trả lại cho bên xác thực.
Xác thực CHAP trên liên kết PPP giữa các đầu cuối yêu cầu máy chủ truy cập gửi một "challenge" tới người dùng từ xa Người dùng từ xa sẽ phản hồi bằng một giá trị được tính toán qua tiến trình xử lý một chiều (hash) Máy chủ truy cập sau đó kiểm tra và so sánh giá trị phản hồi với giá trị hash mà nó đã tính Nếu hai giá trị khớp nhau, xác thực sẽ thành công; nếu không, kết nối sẽ bị hủy bỏ.
Chap cung cấp cơ chế an toàn thông qua việc sử dụng giá trị chanllenge thay đổi, duy nhất và không thể đoán được
Nhược điểm của phương pháp xác thực này là khả năng mở rộng kém, do yêu cầu quản lý một số lượng lớn thuộc tính cho hàm băm, đặc biệt trong các mạng lớn.
+ TACACS (Terminal Access Controller Access-Control System):
Hệ thống điều khiển truy nhập từ xa trong mô hình khách/chủ.
- User quay số tới máy chủ truy nhập từ xa.
- RAS(Remote Access Service) sử dụng giao thức TACACS/RADIUS gửi yêu cầu tới máy chủ xác thực (Authentication server).
- Máy chủ xác thực kiểm tra yêu cầu dựa vào cơ sở dữ liệu tài khoản người sử dụng.
RADIUS (Remote Authentication Dial-In User Service) là dịch vụ xác thực truy cập từ xa, cho phép hỗ trợ nhiều máy chủ và kết nối lớn Mô hình khách/chủ của RADIUS sử dụng máy chủ điều khiển truy cập (NAS - Network Access Service) để quản lý kết nối và cũng hoạt động như một máy khách của RADIUS Giao tiếp giữa máy khách và máy chủ diễn ra thông qua các giao thức bảo mật.
RADIUS là được bảo mật, sử dụng mật khóa chia sẻ cho xác thực và mã hóa để truyền mật khẩu của người sử dụng.
+ CA (Certificate Authentication): Chứng thực điện tử - là một tổ chức cấp chứng chỉ số.
Giải pháp đảm bảo toàn vẹn thông tin quản trị
+ Điều khiển truy nhập (Access Control): cấp quyền truy nhập và sử dụng tài nguyên, xác thực, giám sát truy nhập.
+ Giám sát hoạt động mạng.
+ Bảo mật thông tin trên mạng (mã DES, mã công khai RSA …)
+ Bảo vệ vật lý: ngăn cản truy nhập vật lý bất hợp pháp (gate keeper)
+ Kiểm soát phần mềm đưa vào mạng
+ Bức tường lửa (Firewall) ngăn các mạng nội bộ với thế giới Internet bên ngoài.
Trọng tài, phân phối thông tin mật
Kẻ tấn công, Hacker, Virus, Worm, …
Hình 2.18: Mô hình an ninh mạng
Giải pháp mã mật thông tin quản trị
Thuật toán Cryptography là ngành khoa học chuyên nghiên cứu về mã hóa và giải mã thông tin, bao gồm việc chuyển đổi dữ liệu từ dạng rõ (clear text) sang dạng mờ (cipher text) và ngược lại Phương pháp này đóng vai trò quan trọng trong việc bảo vệ dữ liệu khỏi truy cập trái phép trên mạng, khi áp dụng mã hóa, thông tin sẽ được truyền đi dưới dạng mờ, không thể đọc được bởi những kẻ cố tình xâm nhập.
Giải mã Bản rõ ban đầu
Hình 2.19: Quá trình mã mật thông tin
Không phải tất cả mọi người hay ứng dụng đều cần sử dụng mã hóa Nhu cầu mã hóa xuất hiện khi các bên tham gia trao đổi thông tin muốn bảo vệ tài liệu quan trọng hoặc gửi chúng một cách an toàn Những tài liệu này có thể bao gồm thông tin quân sự, tài chính, kinh doanh hoặc các thông tin cá nhân nhạy cảm.
Internet được hình thành từ yêu cầu của chính phủ Mỹ cho mục đích quân sự, nhưng hiện nay nó trở thành môi trường trao đổi thông tin không an toàn, tiềm ẩn nhiều rủi ro Việc thông tin có thể bị đọc trộm trên đường truyền khiến mã hoá trở thành biện pháp cần thiết để bảo vệ bản thân và dữ liệu gửi đi Ngoài ra, mã hoá còn giúp đảm bảo tính toàn vẹn của dữ liệu.
Theo một số tài liệu, trước đây, tính an toàn và bí mật của một thuật toán phụ thuộc vào phương thức hoạt động của nó Nếu tính an toàn chỉ dựa vào sự bí mật của thuật toán, thì điều này có thể dẫn đến những rủi ro tiềm ẩn.
Thuật toán 56 là một thuật toán hạn chế (Restricted Algorithm) có tầm quan trọng trong lịch sử nhưng hiện nay đã trở nên lỗi thời Sự hạn chế của nó khiến cho người dùng không còn áp dụng, vì mỗi khi một thành viên rời khỏi nhóm, toàn bộ nhóm phải chuyển sang thuật toán khác Nếu có ai đó trong nhóm tiết lộ thông tin hoặc nếu tính bảo mật của thuật toán bị phát hiện, thuật toán sẽ bị phá vỡ, buộc tất cả người dùng còn lại phải thay đổi, dẫn đến lãng phí thời gian và công sức.
Hệ thống mã hoá hiện đại đã giải quyết vấn đề bảo mật thông qua việc sử dụng khoá, một yếu tố tách rời nhưng liên quan đến thuật toán mã hoá Với các thuật toán thường được công khai, tính an toàn của mã hoá giờ đây phụ thuộc chủ yếu vào khoá, có thể là bất kỳ giá trị chữ hoặc số nào Phạm vi các giá trị có thể của khoá được gọi là Keyspace Cả hai quá trình mã hoá và giải mã đều cần sử dụng khoá, và hiện nay, thuật toán được phân loại dựa trên số lượng và đặc tính của khoá được sử dụng.
Mã hoá là quá trình che giấu thông tin bằng thuật toán, không phải là làm cho thông tin biến mất mà là chuyển đổi từ dạng tỏ sang dạng mờ Thuật toán là tập hợp các câu lệnh giúp chương trình xáo trộn hoặc phục hồi dữ liệu một cách hiệu quả.
Giải pháp mã hóa thông tin quản trị phổ biến là hệ mã cổ điển DES (Data Encryption Standard) DES sử dụng các phương pháp thay thế và đổi chỗ, chia bản tin thành các khối cố định dài 64 bit, và thực hiện nhiều lần các phép mã hóa thay thế và đổi chỗ cho từng khối.
- Các phát triển tiếp của DES là:
+ IDEA (International Data Encryption Algorithm): khóa 128 bít, khối dữ liệu 64 bít.
+ RC5: khối dữ liệu và khóa sử dụng có độ dài thay đổi.
+ RC6: nâng cấp của RC5 để tăng tính bảo mật và hiệu quả.
+ AES (Advanced Encryption Standard): khối dữ liệu 128 bít, khóa 128/192/256.
2.4.1 Sơ lược mật mã đối xứng DES
Vào năm 1972, Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) đã yêu cầu phát triển một thuật toán mã hóa thông tin bảo mật, với tiêu chí dễ thực hiện, ứng dụng rộng rãi và đảm bảo mức độ bảo mật cao Năm 1974, IBM giới thiệu thuật toán Lucifer, đáp ứng hầu hết các yêu cầu của NIST Sau một số điều chỉnh, vào năm 1976, Lucifer được NIST công nhận là chuẩn quốc gia Hoa Kỳ và được đổi tên thành Tiêu chuẩn Mã hóa Dữ liệu (Data Encryption Standard - DES).
DES là thuật toán mã hoá bảo mật phổ biến nhất thế giới, được nhiều người xem là đồng nghĩa với an ninh thông tin Khi ra đời, DES được cho là rất khó bị phá, nhưng với sự phát triển nhanh chóng của công nghệ máy tính, thời gian và chi phí để bẻ khoá DES ngày càng giảm Dù vậy, khả năng này vẫn vượt xa sức mạnh của các hacker thông thường, vì vậy mã hoá DES vẫn được sử dụng rộng rãi trong các lĩnh vực như ngân hàng và thương mại.
58 tin nhiều năm nữa đặc biệt với sự ra đời của thế hệ DES mới-"Triple DES".
Kể từ khi DES được giới thiệu, nhiều thuật toán mã hóa bảo mật khác đã được phát triển, dựa trên hoặc tương tự như DES Khi bạn nắm vững các nguyên tắc của DES, việc hiểu các thuật toán này sẽ trở nên dễ dàng hơn.
Để nâng cao bảo mật, cần tìm kiếm một thuật toán đơn giản trong việc thực hiện nhưng đồng thời có khả năng chống lại các cuộc tấn công brute-force, tức là xác suất tìm ra chìa khóa qua việc thử tất cả các trường hợp phải rất thấp, yêu cầu số lần thử phải cực kỳ lớn.
2.4.2 Thuật toán bảo mật DES
Thuật toán mã hoá DES, một thuật toán mã hoá công khai, nổi bật với độ dài chìa khoá 56 bit, cho phép tối đa 2^56 lần thử để tìm ra chìa khoá Trung bình, số lần thử cần thiết lên đến 2^55, tương đương khoảng 36.028.797.018.963.968 lần, cho thấy độ phức tạp và tính bảo mật cao của thuật toán này.
DES thực hiện mã hóa thông qua các phép dịch, hoán vị và phép toán logic trên các bit Mỗi ký tự trong thông điệp được mã hóa bằng 2 số hexa, tương đương 8 bít Quá trình mã hóa diễn ra trên từng khối 64 bít, tương ứng với 16 số hexa Để mã hóa, DES sử dụng một chìa khóa 16 số hexa hay 64 bít (8 byte), nhưng 8 bít trong các byte này sẽ bị bỏ qua, do đó kích thước thực tế của chìa khóa chỉ còn 56 bit.
Ví dụ, ta mã hoá một bản tin hexa "0123456789ABCDEF" với chìa khoá là
Khi mã hóa chuỗi "5A5A5A5A5A5A5A5A", kết quả thu được là "72AAE3B3D6916E92" Nếu sử dụng cùng chìa khóa "5A5A5A5A5A5A5A5A" để giải mã, ta sẽ khôi phục lại bản tin gốc "0123456789ABCDEF" Thuật toán DES thực hiện 16 vòng lặp, tức là quy trình mã hóa chính được lặp lại 16 lần để tạo ra bản tin đã được mã hóa Dưới đây là quy trình chi tiết của thuật toán DES.
Bước đầu tiên là chuyển 64 bit chìa khoá qua một bảng hoán vị gọi là Permuted Choice hay PC-1 để thu được chìa khoá mới có 56 bit.
