Đang tải... (xem toàn văn)
Bài giảng Quản lý mạng: Chương 2 được biên soạn bởi GV. Nguyễn Thị Phương Dung nhằm trang bị cho sinh viên kiến thức về các đối tượng cần quản lý của mô hình chức năng FCAPS; Các chức năng quản trị; Chính sách bảo mật đối với chủ đầu tư;... Mời các bạn cùng tham khảo bài giảng tại đây.
Bg.Quản lý mạng - Gv.NTPDung Chương – Mơ hình chức FCAPS 2.1 Các đối tượng cần quản lý NMS (M) (11.0.0.5) RA E0 10 0.0.0.1 Sale-Dept 10.0.0.101 > 10.0.0.200 NIC: BW, Protocol… Host: CPU, RAM, Disk… Marketing-Dept 10.0.0.50 > 10.0.0.100 E0 11 0.0.0.1 * DHCP server (D 1) (11.0.0.5) * * * Internet * * Web server (10.0.0.10) Mail server (10.0.0.11) DNS server (D2) (10.0.0.9) Management Information lưu hành nội bộ- ptithcm.edu.vn Bg.Quản lý mạng - Gv.NTPDung Tài nguyên phần cứng hệ thống HOST RESOURCES MIB MODEM MIB PRINTER MIB HARDWARE SPECIFIC MIBs Title RFC STATUS Host Resources MIB 2790 D Entity MIB 2737 P Job Monitoring MIB 2707 I Printer 1759 P Modem 1696 P Parallel printer-like Hardware 1660 D RS-232-like Hardware 1659 D Character Stream Devices 1658 D UPS 1628 P LEGEND: S = STANDARD D = DRAFT STANDARD P = PROPOSED STANDARD I = INFORMATIONAL E = EXPERIMENTAL lưu hành nội bộ- ptithcm.edu.vn Bg.Quản lý mạng - Gv.NTPDung Tài nguyên phần cứng hệ thống Host Resources Mib – RFC2790 (2/3) F S I nde x S iz e ID h r P a r t i ti o n n d e x PartitionTable L a bel C a p a c i ty M e d ia R e m o v a b le Disk StorageTable A cc e s s S t a tu s Printer Table D e t e ct e d E r r o r S ta t e If In d e x Network Table Loa d E rr o rs S t a tu s ID D e sc r T y pe h r D e v i c e In d e x F rw ID Processor Table DeviceTable Mibs liên quan giao thức TCP/IP PROTOCOL MIBS SNMP RDBMS X.500 DNS MAIL WWW APPLICATION TRANSPORT TCP UDP NETWORK OSPF ICMP IP BGP ARP EGP lưu hành nội bộ- ptithcm.edu.vn SONET ADSL ATM INTERFACES FDDI 802.5 802.3 TRANSMISSION Bg.Quản lý mạng - Gv.NTPDung TRANSMISSION MIBs -1 Title RFC STATUS Ethernet-like Interface Types 2665 P ADSL Lines 2662 P SONET/SDH Interface Type 2558 P ATM Management 2515 P Frame Relay/ATM PVC Service Interworking Function 2955 P DS3/E3 Interface Type 2496 P DS1, E1, DS2 and E2 Interface Types 2495 P DS0 and DS0 Bundle Interface Type 2494 P Classical IP and ARP Over ATM (IPOA) 2320 P IEEE 802.12 Repeater Devices 2266 P Dial Control 2128 P ISDN 2127 P Frame Relay DTEs 2115 D Title RFC STATUS IEEE 802.3 Repeater Devices 2108 P Data Link Switching 2024 P IEEE 802.12 Interfaces 2020 P IEEE 802.5 Station Source Routing 1749 P IEEE 802.5 1748 D SMDS 1694 D Source Routing Bridges 1525 P FDDI 1512 P Bridges 1493 D Bridge Network Control Protocol of PPP 1474 P IP Network Control Protocol of PPP 1473 P Security Protocols of PPP 1472 P Link Control Protocol of PPP 1471 P TRANSMISSION MIBs - lưu hành nội bộ- ptithcm.edu.vn Bg.Quản lý mạng - Gv.NTPDung TRANSPORT LAYER MIBs Title RFC STATUS Real-Time Transport Protocol 2959 P IP Version MIB for the User Datagram Protocol 2454 P IP Version MIB for the Transmission Control Protocol 2452 P User Datagram Protocol (UDP) 2013 P Transmission Control Protocol (TCP) 2012 P APPLICATION LAYER MIBs Title RFC STATUS MIB for the PINT Services Architecture 3055 P Mail Monitoring MIB 2789 P Network Services Monitoring 2788 P RADIUS Accounting Server MIB 2621 I RADIUS Accounting Client MIB 2620 I RADIUS Authentication Server MIB 2619 P RADIUS Authentication Client MIB 2618 P Directory Server Monitoring MIB 2605 P DNS Resolver MIB Extensions 1612 P DNS Server MIB Extensions 1611 P SNMPv2 MIB 1907 P RDBMS MIB 1697 P lưu hành nội bộ- ptithcm.edu.vn Bg.Quản lý mạng - Gv.NTPDung APPLICATION LAYER MIBs Title RFC STATUS DNS Resolver MIB Extensions 1612 P DNS Server MIB Extensions 1611 P 2.2 Các chức quản trị IETF sử dụng chuẩn mơ hình chức OSI: Chức quản trị lỗi (Fault mgmt) Chức quản trị khả thực thi (Performance mgmt) Chức quản trị bảo mật (Security mgmt) Chức quản trị tài nguyên (Accounting mgmt) Chức quản trị cấu hình (Configuration mgmt) lưu hành nội bộ- ptithcm.edu.vn Bg.Quản lý mạng - Gv.NTPDung 2.2.1 Quản trị lỗi- Fault Management (1/3) Lỗi tình xẩy khơng thiết kế ban đầu – Baselines – Liên quan đến giá trị thống kê trạng thái thông số họat động hệ thống mạng Các hoạt động: – Ngăn chặn lỗi xảy (prevent) – Phát có lỗi xảy (detecting) – Định vị lỗi (locating) – Cách ly lỗi (isolating) – Thay / Sửa chửa Quản trị lỗi- Fault Management (2/3) Yêu cầu: – Giám sát thống kê loại lỗi tương ứng với đối tượng cần quản trị – Nhận biết nguyên nhân gây lỗi phục hồi lỗi – Triển khai giải pháp Fault-tolerance /Fail-over Quan tâm đến khả lỗi điểm làm tê liệt tịan hệ thống : Single point of failure lưu hành nội bộ- ptithcm.edu.vn Bg.Quản lý mạng - Gv.NTPDung Các loại lỗi (1/2) Lỗi truyền liệu • Nhận diện thơng qua lớp mơ hình TCP/IP – TCP: » Kết nối TCP » Quá trình gởi nhận đoạn liệu TCP – Gói IP lỗi liên quan – Tín hiệu xung clock lớp vật lý (dot3) • Nhận diện thơng qua ICMP- source quench; • Trạng thái hoạt động hay khơng hoạt động interface (up / down) Các cảnh báo về: – nguồn điện – Đường truyền vật lý – Cháy nổ thiết bị Các loại lỗi (2/2) – Lỗi vi phạm QOS: – Số gói lỗi đơn vị thời gian – Số gói truyền lại – Thời gian tắc nghẽn hay suy giảm khả hoạt động tài nguyên mạng » Quá tải: dẫn đến việc hủy gói gởi hay nhận vào – Lỗi phần mềm – Lỗi mơi trường hoạt động • Độ ẩm • Nhiệt độ • Rung động • Vius … lưu hành nội bộ- ptithcm.edu.vn Bg.Quản lý mạng - Gv.NTPDung Đánh giá nhận diện lỗi Mức độ nghiệm trọng lỗi • Cảnh báo (Warning) • Lỗi nhỏ (Minor) • Lỗi quan trọng (Major) • Lỗi nghiêm trọng (Critical) Mức độ nhận diện lỗi: • Nhận diện rõ ràng nguyên nhân gây lỗi (cleared) • Nhận diện khơng rõ ràng (indeterminate) • Thời gian , địa điểm đặt thiết bị vị trí lỗi thiết bị Hệ thống thẻ lỗi- Trouble Ticket Trouble Tickets – thuộc tính quản trị Ngày, hư hỏng xẩy Ngày, hư hỏng xử lý xong Thông tin người tiếp nhận báo hỏng Thông tin người xử lý hư hỏng Cơ sở nhận biết cố (thông tin thu thập từ Mibs so với baselines) Thông tin nhận diện thiết bị hư hỏng Vị trí hư hỏng Tình trạng hư hỏng Loại lỗi gây cố Chẩn đoán nguyên nhân hư hỏng Phương pháp xử lý Kết xử lý lưu hành nội bộ- ptithcm.edu.vn Bg.Quản lý mạng - Gv.NTPDung Trouble Tickets – Mục đích sử dụng Đánh giá thống kê loại lỗi – Khả nhận diện loại kiện liên quan – Khả nhận diện loại kiện tương quan Đánh giá tính đắn xử lý hư hỏng Đánh giá tính hiệu cơng tác quản trị lỗi quản trị viên Đánh giá chất lượng sản phẩm hay chất lượng hậu nhà xản xuất, nhà cung cấp 2.2.2 Chức quản trị khả thực thi (1/2) Qui trình Proactive Tập trung vào đối tượng cần quản trị Các tiêu chí thực hiện: – Thời gian đáp ứng (Response time): • Tắc nghẽn (congestion) • Mất gói-> truyền lại (Retransmission) • Yếu tố ảnh hưởng: Links/ Hosts (end systems + transition) – Độ tin cậy (Reliability)-> truyền lại (ARQ): • Pkts Error; Duplication; Pkts loss • => ảnh hưởng đến: thời gian trể hiệu suất truyền – Tính mạnh mẽ, bền bỉ (Robustness): – Cân tải cần thiết (Load Balancing) lưu hành nội bộ- ptithcm.edu.vn 10 Bg.Quản lý mạng - Gv.NTPDung Công cụ hỗ trợ cho quản trị tài nguyên Công cụ hỗ trợ cho quản trị tài nguyên thường hỗ trợ thêm chức kiểm soát bảo mật xác thực, cấp quyền theo dõi (AAA) Một số công cụ sử dụng phổ biến như: RADIUS, Diameter Ví dụ: RADIUS có cấu trúc file quản lý thông tin sở như: – Danh sách người dùng cuối – Danh sách thuộc tính mơ tả người dùng cuối: • Rights • Permission • User profile – Nhật ký chi tiết truy cập sử dụng tài khoản – Nhật ký lỗi… IF Mibs lưu hành nội bộ- ptithcm.edu.vn 14 Bg.Quản lý mạng - Gv.NTPDung IP Mibs TCP Mibs lưu hành nội bộ- ptithcm.edu.vn 15 Bg.Quản lý mạng - Gv.NTPDung UDP Mibs EGP Mibs lưu hành nội bộ- ptithcm.edu.vn 16 Bg.Quản lý mạng - Gv.NTPDung Dot3StatsEntry Dot3StatsEntry ::= SEQUENCE { dot3StatsIndex InterfaceIndex, dot3StatsAlignmentErrors Counter32, – dot3StatsFCSErrors Counter32, – dot3StatsSingleCollisionFrames Counter32, – dot3StatsMultipleCollisionFrames Counter32, – dot3StatsSQETestErrors Counter32, – dot3StatsDeferredTransmissions Counter32, – dot3StatsLateCollisions Counter32, – dot3StatsExcessiveCollisions Counter32, – dot3StatsInternalMacTransmitErrors Counter32, – dot3StatsCarrierSenseErrors Counter32, – dot3StatsFrameTooLongs Counter32, – dot3StatsInternalMacReceiveErrors Counter32, – dot3StatsEtherChipSet OBJECT IDENTIFIER, – dot3StatsSymbolErrors Counter32 } ICMP Mibs lưu hành nội bộ- ptithcm.edu.vn 17 Bg.Quản lý mạng - Gv.NTPDung 2.2.4 Quản trị bảo mật-Security Management (1/2) Chính sách bảo mật – Thiết lập nguyên tắc, điều khỏan, mức chế tài, xử phạt áp dụng cho đối tượng liên quan đến việc triển khai, quản lý, sử dụng phát triển tài nguyên chia mạng – Chính sách bảo mật xây dựng phù hợp với yêu cầu sách chung tổ chức Quản trị bảo mật: – Kiểm tốn việc tn thủ sách bảo mật đối tượng liên quan – Đánh giá tính hiệu giải pháp bảo mật triển khai Quản trị bảoSecurity mật-Security PolicyManagement Databases Budget Sharing Resources Sharing Resources Policy Modifiability for the development Applications Hardware Software Services Security Policy Classify by A& C.I.A (data) Concerning People Persistence Owner Users/ Groups lưu hành nội bộ- ptithcm.edu.vn Administrators 18 Bg.Quản lý mạng - Gv.NTPDung Risk Management Assets Threats: man-made, natural Identification Vulnerabilities/ Weakness Risk Management Controls to protect Analysis/Evaluation Remedy/ Mitigation Cost-Benefit analysis Control to reduce threat Subjective intangible values Transfer: Get insurance or outsource it Accept: Hope for the best Information Classification Protection level Procedures Based on C.I.A Controls to protect Information Classification Labeling for handling Based on Government Top Secret Private Sectors Secret Confidential Confidential Sensitive Sensitive Public lưu hành nội bộ- ptithcm.edu.vn Unclassified 19 Bg.Quản lý mạng - Gv.NTPDung Chính sách bảo mật- Đối với chủ đầu tư Đối với chủ đầu tư: xác định rõ tài sản hữu hình vơ hình tổ chức Từ đưa qui định cho đối tượng liên quan Xây dựng sách bảo mật: Nhận diện nguồn tài nguyên, thiết bị cần bảo mật (Assets) Phân tích rủi ro bảo mật (Risks) Phân tích yêu cầu bảo mật thách thức phải đối diện (Requirements & tradeoffs) Phát triển kế họach bảo mật (Security plan) Định nghĩa nguyên tắc, yêu cầu tuân thủ , yêu cầu thực sách (Define a security policy) Phát triển thủ tục, qui trình áp dụng sách bảo mật (Procedures) Đánh giá tài nguyên hệ thống Hardware Software Ứng dụng nghiệp vụ (Applications) Dữ liệu (Data ) Sở hữu trí tuệ (Intellectual property) Bí mật thương mại (Trade secret) Danh tiếng công ty (Company’s reputation) lưu hành nội bộ- ptithcm.edu.vn 20 Bg.Quản lý mạng - Gv.NTPDung Chính sách bảo mật- Đội ngũ quản trị mạng users • Đội ngũ quản trị mạng/ IT staff: người tham gia phát triển quản lý tài nguyên: • Thiết kế triển khai đắn giải pháp bảo mật cho tài ngun dùng chung •Giám sát đánh giá tính hiệu giải pháp bảo mật triển khai •Thực kiểm tóan họat động quản trị khai thác tài nguyên -> nhanh chóng phát khiếm khuyết hoat động bảo mật mạng • Xây dựng triển khai sách bảo mật USERs •Đối với users: hiểu quyền lợi trách nhiệm việc sử dụng bảo vệ tài nguyên dùng chung Các thách thức bảo mật (Security Tradeoffs) Affordability Usability Performance Availability Manageability lưu hành nội bộ- ptithcm.edu.vn 21 Bg.Quản lý mạng - Gv.NTPDung Đối với phận quản lý mạng Triển khai giải pháp kỹ thuật bảo mật phù hợp (Technical Solutions) Kiểm sóat tuân thủ sách bảo mật chung tất đối tượng liên quan (Achieve buy-in) Huấn luyện thường kỳ (Training users, managers, and technical staff) Triển khai chiến lược thủ tục bảo mật (Implement security strategy and procedures) Giám sát, Kiểm thử cập nhật, điều chỉnh cần thiết Kiểm tóan thường kỳ phận độc lập Thiết kế bảo mật theo modules Internet connections Public servers and e-commerce servers Remote access networks and VPNs Network services and network management Server farms User services Wireless networks lưu hành nội bộ- ptithcm.edu.vn 22 Bg.Quản lý mạng - Gv.NTPDung Các giải pháp bảo mật sở (1/3) Giữ cho hệ thống mạng an toàn truy cập trái phép – Đảm bảo tính sẳn sàng tài nguyên, hệ thống quản trị tài nguyên – Triển khai hệ thống bảo vệ vịng ngồi: – tường lửa: firewall (packet filter; proxy) – phát thâm nhập IDS/ IPS Ref-1 Ref-2 Back … Các giải pháp bảo mật sở (2/3) Thực yêu cầu bảo đảm tính riêng tư, tính tồn vẹn liệu truyền thơng lưu trử liệu – Tính riêng tư (privacy) hay tính bí mật (confidentiality) – Tính tồn vẹn liệu (integrity) • Triển khai hệ thống xác thực, cấp quyền: AAA – Authentication – Authorization – Accounting Ref-1 Ref-2 lưu hành nội bộ- ptithcm.edu.vn Back … 23 Bg.Quản lý mạng - Gv.NTPDung Các giải pháp bảo mật sở (3/3) Cung cấp phương tiện thực trao đổi liệu an toàn cho người dùng cuối: – Sử dụng mật (theo sách mật khẩu) – Sử dụng khóa đối xứng- symmetry key hay khóa bí mật (secret key) – Sử dụng khóa bất đối xứng: asymmetry key • Khóa cơng khai (public key): • Khóa riêng (private key) Đánh giá phân loại độ nhạy cảm, tầm quan trọng liệu truyền thông lưu trử theo tiêu chí CIA – Confidentiality, Integrity , Availability Bảo mật công tác quản trị mạng Phân cấp quyền quản trị cụ thể theo đối tượng quản trị – Xác định mức độ cần xác thực mã hóa truy cập vào sở thơng tin quản trị thiết bị quản trị – Chỉ định cụ thể nhóm đối tượng quản trị người có quyền quản trị – Quyền hạn nhóm thơng tin quản trị u cầu mã hóa thơng tin quản trị truyền thơng hệ thống quản trị hẹ thống quản trị Sử dụng đường truyền VPN cần thiết lưu hành nội bộ- ptithcm.edu.vn 24 Bg.Quản lý mạng - Gv.NTPDung Typical Org Chart Board of Directors/Trustees President Infrastructure Director CTO CIO CFO Security Director Project Enterprise Security Architect Security Architect ISM Director Security Analyst Security Auditor Security-Oriented Org Chart Board of Directors/Trustees President CIO Security Director IT Audit Manager Security Auditor Enterprise Security Architect lưu hành nội bộ- ptithcm.edu.vn Security Analyst Project Security Architect 25 Bg.Quản lý mạng - Gv.NTPDung The best security-Oriented Org Chart Board of Directors/Trustees Audit Committee President Internal Audit CIO X Director X Audit Manager IT Audit Manager Security Auditor Security Director Enterprise Security Architect Security Analyst Project Security Architect 2.2.5 Quản trị cấu hình - Configuration management (1/2) Quản trị cấu hình – Thiết lập cập nhật hồ sơ kỹ thuật cách có hệ thống nhằm mục đích: • Nhận diện thành phần nối mạng, thành phần tài nguyên mạng người dùng cuối • Lưu trử thơng tin chi tiết: Chính sách chia tài nguyên Chính sách bảo mật Hồ sơ thiết kế, triển khai kiểm thử Cấu hình phần cứng & phần mềm thiết lập ban đầu thiết bị Quá trình xử lý thay đổi thiết bị lưu hành nội bộ- ptithcm.edu.vn 26 Bg.Quản lý mạng - Gv.NTPDung Quản trị cấu hình - Configuration management (2/2) Mục đích: Triển khai thành cơng hoạt động quản lý thay đổi cấu hình cách chặc chẻ quán – Thiết lập giá trị sở (baseline) đối tượng quản trị kiểm thử cuối trước đưa vào sử dụng – Duy trì tồn vẹn số đo lực hoạt động hệ thống suốt chu kỳ sống hệ thống nối mạng – Theo dõi truy vấn thay đổi cấu hình, giá trị thiết lập hoạt động hệ thống mạng LAN, WAN, cho phép quản trị rủi ro cách hiệu Các loại thông tin cấu hình Thơng tin cấu hình về: – Phần cứng phần mềm thành phần thiết bị hệ thống (systems) – Các đường kết nối vào thiết bị/ hệ thống • NIC->Media -BW Các thông tin nhận dạng thành phần mạng – ID/ Addresses/ Name Các thông tin baselines: – Các thông tin yêu cầu thiết kế, kết thiết kế triển khai, kiểm thử – Sơ đồ mạng (Topology; diagrams, cable structure, ) – Các giá trị cài đặt ban đầu (setting up) – Các giá trị mức chấp nhận thông số điều khiển hoạt động mạng lưu hành nội bộ- ptithcm.edu.vn 27 Bg.Quản lý mạng - Gv.NTPDung Các mối quan hệ chức quản trị Mối quan hệ quản trị khả thực thi quản trị lỗi Mối quan hệ quản trị khả thực thi quản trị cấu hình Mối quan hệ quản trị khả thực thi quản trị bảo mật Mối quan hệ quản trị lỗi quản trị cấu hình Mối quan hệ quản trị lỗi quản trị bảo mật Mối quan hệ quản trị tài nguyên mạng quản trị cấu hình Mối quan hệ quản trị tài nguyên mạng quản trị bảo mật lưu hành nội bộ- ptithcm.edu.vn 28 ... Type 24 94 P Classical IP and ARP Over ATM (IPOA) 23 20 P IEEE 8 02. 12 Repeater Devices 22 66 P Dial Control 21 28 P ISDN 21 27 P Frame Relay DTEs 21 15 D Title RFC STATUS IEEE 8 02. 3 Repeater Devices 21 08... b? ?- ptithcm.edu.vn 14 Bg .Quản lý mạng - Gv.NTPDung IP Mibs TCP Mibs lưu hành nội b? ?- ptithcm.edu.vn 15 Bg .Quản lý mạng - Gv.NTPDung UDP Mibs EGP Mibs lưu hành nội b? ?- ptithcm.edu.vn 16 Bg .Quản. .. xử lý thay đổi thiết bị lưu hành nội b? ?- ptithcm.edu.vn 26 Bg .Quản lý mạng - Gv.NTPDung Quản trị cấu hình - Configuration management (2/ 2) Mục đích: Triển khai thành cơng hoạt động quản lý