Đang tải... (xem toàn văn)
NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG GIÁM SÁT AN NINH MẠNG SỬ DỤNG MÃ NGUỒN MỞ ZABBIX CÓ BẢO MẬT ĐƯỜNG TRUYỀN VỚI TLS 1.3 Cùng với sự phát triển của công nghệ thông tin, sự đầu tư cho hạ tầng mạng trong mỗi doanh nghiệp ngày càng tăng cao, dẫn đến việc quản trị sự cố một hệ thống mạng gặp rất nhiều khó khăn. Đi cùng với những lợi ích khi phát triển hạ tầng mạng như băng thông cao, khối lượng dữ liệu trong mạng lớn, đáp ứng được nhu cầu của người dùng, hệ thống mạng phải đối mặt với rất nhiều thách thức như các cuộc tấn công bên ngoài, tính sẵn sàng của thiết bị, tài nguyên của hệ thống,... Một trong những giải pháp hữu hiệu nhất để giải quyết vấn đề này là thực hiện việc giải pháp giám sát an ninh mạng, dựa trên những thông tin thu thập được thông qua quá trình giám sát, các nhân viên quản trị mạng có thể phân tích, đưa ra những đánh giá, dự báo, giải pháp nhằm giải quyết những vấn đề trên. Để thực hiện giám sát an ninh mạng có hiệu quả, một chương trình giám sát phải đáp ứng được các yêu cầu sau: phải đảm bảo chương trình luôn hoạt động, tính linh hoạt, chức năng hiệu quả, đơn giản trong triển khai, chi phí thấp. Hiện nay, có khá nhiều phần mềm hỗ trợ việc giám sát an ninh mạng hiệu quả như Nagios, Zabbix, Zenoss, Cacti,… Trong số đó thì Zabbix là một phần mềm mã nguồn mở với nhiều chức năng mạnh mẽ, cho phép quản lý các thiết bị, dịch vụ trong hệ thống mạng. Nhưng trong quá trình triển khai hệ thống giám sát an ninh mạng xảy ra các nguy cơ gây mất an toàn. Chẳng hạn, khi triển khai hệ thống giám sát an ninh mạng thì bên phía Agent sẽ thu thập thông tin dữ liệu gửi về bên phía máy chủ nhưng trong quá trình truyền bị tấn công làm mất đi các nội dung cần thiết khiến cho máy chủ khó kiểm soát hệ thống. Vì vậy, để giải quyết vấn đề trên cần sử dụng giao thức bảo mật đường truyền và trong đồ án này em lựa chọn sử dụng giao thức TLS 1.3 để bảo vệ đường truyền giữa máy chủ giám sát và các máy Agent Chương 3 đã triển khai được hệ thống giám sát mã nguồn mở Zabbix và giao thức bảo mật đường truyền TLS 1.3 . Cụ thể đã trình bày được những nội dung như sau Mô hình triển khai hệ thống giám sát Zabbix Các bước cài thực hiện cài hệ thống máy chủ Zabbix và máy chủ dịch vụ Web Kết quả giám sát máy chủ dịch vụ Web trên máy chủ Zabbix khi chưa thực hiện tấn công Thực hiện tấn công và kết quả giám sát máy chủ dịch vụ Web trên máy chủ Zabbix sau khi bị tấn công Thực hiện cài mã hóa đường truyền sử dụng khóa chia sẻ trước PSK Mặt cơ sở lý thuyết + Đồ án giới thiệu hệ thống giám sát an ninh mạng và vai trò lợi ích của hệ thống giám sát an ninh mạng + Trình bày về giao thức quản trị mạng đơn giản, các thành phần trong giao thức quản trị mạng đơn giản, hoạt động của giao thức quản trị mạng đơn giản SNMP. + Kiến trúc, cách thức hoạt động của hệ thống Zabbix + Tổng quan về giao thức bảo mật đường truyền TLS 1.3 Kết quả đạt được + Hiểu được giao thức quản lý mạng đơn giản SNMP. + Triển khai thử nghiệm hệ thống giám sát an ninh mạng sử dụng mã nguồn mở Zabbix và giám sát thành công máy chủ máy chủ Web + Hiểu được giao thức bảo mật đường truyền TLS 1.3 Hướng phát triển + Tích hợp thông báo sự cố qua SMS + Áp dụng hệ thống Zabbix vào hệ thống thật, thiết lập cấu hình nâng cao để giám sát hệ thống trong môi trường phức tạp. + Tùy biến thuật toán mật mã trong TLS 1.3 khi kết hợp với Zabbix
ĐẠI HỌC BÁCH KHOA HÀ NỘI LUẬN VĂN THẠC SĨ NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG GIÁM SÁT AN NINH MẠNG SỬ DỤNG MÃ NGUỒN MỞ ZABBIX CÓ BẢO MẬT ĐƯỜNG TRUYỀN VỚI TLS 1.3 Nguyen Thanh Long Hà Nội - 2023 i MỤC LỤC LỜI CẢM ƠN i LỜI CAM ĐOAN Lỗi! Thẻ đánh dấu không được xác định MỤC LỤC ii DANH MỤC TỪ VIẾT TẮT v DANH MỤC HÌNH ẢNH vi DANH MỤC BẢNG BIỂU viii LỜI NÓI ĐẦU CHƯƠNG TỔNG QUAN VỀ HỆ THỐNG GIÁM SÁT AN NINH MẠNG 1.1 Giới thiệu hệ thống giám sát an ninh mạng 1.1.1 Khái niệm 1.1.2 Vai trò lợi ích hệ thống giám sát an ninh mạng 1.1.3 Thành phần hệ thống giám sát an ninh mạng 1.2 Giao thức quản trị mạng đơn giản SNMP 1.2.1 Quản lý giám sát mạng 1.2.2 Managers Agents 1.2.3 Quản lý máy trạm 10 1.2.4 SNMP UDP 10 1.2.5 Hoạt động SNMP 12 1.3 Một số hệ thống giám sát an ninh mạng mã nguồn mở 18 1.3.1 Hệ thống giám sát Nagios 18 1.3.2 Hệ thống giám sát Zabbix 19 1.4 Kết luận chương I 20 CHƯƠNG HỆ THỐNG GIÁM SÁT MÃ NGUỒN MỞ ZABBIX VÀ GIAO THỨC BẢO MẬT ĐƯỜNG TRUYỀN TLS 1.3 21 2.1 Tổng quan hệ thống giám sát mã nguồn mở Zabbix 21 ii 2.1.1 Lịch sử Zabbix 21 2.1.2 Tính Zabbix 21 2.2 Kiến trúc hệ thống giám sát Zabbix 22 2.2.1 Các thành phần Zabbix 22 2.2.2 Luồng liệu Zabbix 23 2.2.3 Zabbix hỗ trợ đa ngôn ngữ 26 2.2.4 Ưu điểm kiến trúc Zabbix 26 2.2.5 Một số vấn đề thử thách kiến trúc Zabbix 26 2.3 Tương tác nhớ Zabbix 27 2.3.1 Bộ nhớ Cache 27 2.3.2 Hoạt động Bulk 28 2.4 Chức giám sát hệ thống Zabbix 28 2.4.1 Giám sát dịch vụ mạng 28 2.4.2 Khám phá mạng 31 2.4.3 Ảo hóa mơ hình mạng với Maps Graphs 34 2.5 Giao thức bảo mật đường truyền TLS 1.3 39 2.5.1 Tổng quan giao thức TLS 1.3 40 2.5.2 Nguyên lý hoạt động giao thức TLS 1.3 41 2.5.3 Các thuật toán mật mã giao thức TLS 1.3 46 2.5.4 Những cải tiến TLS 1.3 so với phiên TLS 1.2 48 2.6 Kết luận chương 50 CHƯƠNG TRIỂN KHAI HỆ THỐNG GIÁM SÁT AN NINH MẠNG SỬ DỤNG MÃ NGUỒN MỞ ZABBIX CÓ BẢO MẬT ĐƯỜNG TRUYỀN VỚI TLS 1.3 51 3.1 Mơ hình triển khai hệ thống giám sát Zabbix 51 3.2 Các bước thực triển khai hệ thống 51 3.2.1 Triển khai máy chủ Zabbix 51 3.2.2 Triển khai máy chủ dịch vụ Web 53 iii 3.2.3 Triển khai Zabbix Agent máy chủ dịch vụ Web thêm máy chủ dịch vụ Web thành đối tượng giám sát Zabbix Server 53 3.3 Thực giám sát máy chủ dịch vụ Web 55 3.3.1 Kết giám sát máy chủ dịch vụ Web máy chủ Zabbix chưa thực công 55 3.3.2 Thực công kết giám sát máy chủ dịch vụ Web máy chủ Zabbix sau bị công 57 3.3.3 Triển khai bảo mật đường truyền máy chủ dịch vụ Web (Zabbix Agent) máy chủ Zabbix sử dụng TLS 1.3 chế độ bắt tay PSK (khóa chia sẻ trước) 59 3.4 Kết luận chương 62 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 63 TÀI LIỆU THAM KHẢO 64 PHỤ LỤC A 65 PHỤ LỤC B 68 PHỤ LỤC C 71 iv DANH MỤC TỪ VIẾT TẮT STT Từ viết tắt Từ đầy đủ Dịch nghĩa CNTT Công nghệ thông tin LDAP Lightweight Công nghệ thông tin Directory Access Giao thức truy cập nhanh Protocol dịch vụ thư mục MIB Management Information Base Thông tin quản lý sở NMS Network Management Stations Nơi quản trị mạng NSM Network security monitor Giám sát an ninh mạng SIEM Security information and event Hệ thống giám sát an management ninh mạng RMON Remote Network Monitoring Giám sát mạng từ xa ODBC Open Database Connectivity Kết nối sở liệu mở OID Object identifier Định danh đối tượng 10 PDU Protocol Data Unit Giao thức đơn vị liệu 11 SNMP Simple Network Protocol 12 TLS Transport Layer Security Giao thức bảo mật tầng giao vận 13 PSK Pre-shared key Khóa chia sẻ trước Management Giao thức quản trị mạng đơn giản v DANH MỤC HÌNH ẢNH Hình 1.1.Thành phần hệ thống giám sát an ninh mạng Hình 1.2 Mơ hình hoạt động NMS Agent 10 Hình 1.3 Mơ hình trao đổi NMS Agent 11 Hình 1.4 Mơ hình hoạt động SNMP 12 Hình 1.5 Mơ hình hoạt động lệnh get 13 Hình 1.6 Sơ đồ đường MIB 13 Hình 1.7 Mơ hình lấy thơng tin get-bulk 14 Hình 1.8 Mơ hình lệnh set 14 Hình 1.9 Mơ hình gửi Trap từ Agent 17 Hình 2.1 Các thành phần hệ thống Zabbix 22 Hình 2.2 Luồng liệu Zabbix 24 Hình 2.3 Luồng liệu proxy chủ động 25 Hình 2.4 Luồng liệu proxy bị động 25 Hình 2.5 Kỹ thuật nhớ đệm 27 Hình 2.6 Hoạt động Bulk 28 Hình 2.7 Chọn cách hiển thị đồ thị 34 Hình 2.8 Thêm biểu đồ với template 35 Hình 2.9 Hình minh họa đồ 37 Hình 2.10 Lịch sử phát triển giao thức TLS 40 Hình 2.11 Kiến trúc giao thức TLS 41 Hình 2.12 Mơ đun thiết kế giao thức thành phần Hanshake Protocol 42 Hình 2.13 Xử lý gói tin bên gửi Record Protocol 43 Hình 2.14 Xử lý gói tin bên nhận Record Protocol 44 Hình 2.15 Bộ thuật tốn mật mã sử dụng TLS 1.3 46 Hình 2.16 Quá trình bắt tay TLS 1.2 TLS 1.3 49 Hình 3.1 Mơ hình triển khai 51 Hình 3.2 Hồn thành trình cài đặt 52 Hình 3.3 Giao diện đăng nhập Zabbix Server 52 Hình 3.4 Giao diện quản trị Zabbix Server 53 Hình 3.5 Giao diện trang Web 53 Hình 3.6 Kiểm tra Zabbix Agent 54 vi Hình 3.7 Thêm host Groups 54 Hình 3.8 Lựa chọn thêm template giám sát cho máy chủ dịch vụ Web 55 Hình 3.9 Thêm host cần giám sát (máy chủ dịch vụ Web) thành công 55 Hình 3.10 Lưu lượng mạng máy chủ dịch vụ Web 56 Hình 3.11 Dung lượng nhớ sử dụng máy chủ dịch vụ Web 56 Hình 3.12 Tải CPU máy chủ dịch vụ Web 56 Hình 3.13 CPU sử dụng máy chủ dịch vụ Web 57 Hình 3.14 Dùng Hulk cơng DDoS vào máy chủ dịch vụ web 57 Hình 3.15 Zabbix cảnh báo 58 Hình 3.16 Tải CPU máy chủ dịch vụ Web 58 Hình 3.17 CPU sử dụng máy chủ dịch vụ Web 58 Hình 3.18 Dung lượng nhớ sử dụng máy chủ dịch vụ Web 59 Hình 3.19 Lưu lượng mạng máy chủ dịch vụ Web 59 Hình 3.20 Phiên liên lạc Zabbix Server máy chủ dịch vụ Web chưa cài TLS 1.3 60 Hình 3.21 Add PSK identity khóa PSK vừa tạo 60 Hình 3.22 Thêm PSK thành công 61 Hình 3.23 Kết bắt gói tin TLS 1.3 đường truyền máy chủ dịch vụ Web máy chủ Zabbix 62 vii DANH MỤC BẢNG BIỂU Bảng 1.1 Các thông báo lỗi SNMPv1 15 Bảng 1.2 Các lỗi SNMPv2 15 Bảng 2.1 Zabbix hỗ trợ mục dạng kết trả 32 Bảng 2.2 Các tham số hình 38 viii LỜI NÓI ĐẦU Cùng với phát triển công nghệ thông tin, đầu tư cho hạ tầng mạng doanh nghiệp ngày tăng cao, dẫn đến việc quản trị cố hệ thống mạng gặp nhiều khó khăn Đi với lợi ích phát triển hạ tầng mạng băng thông cao, khối lượng liệu mạng lớn, đáp ứng nhu cầu người dùng, hệ thống mạng phải đối mặt với nhiều thách thức cơng bên ngồi, tính sẵn sàng thiết bị, tài nguyên hệ thống, Một giải pháp hữu hiệu để giải vấn đề thực việc giải pháp giám sát an ninh mạng, dựa thông tin thu thập thơng qua q trình giám sát, nhân viên quản trị mạng phân tích, đưa đánh giá, dự báo, giải pháp nhằm giải vấn đề Để thực giám sát an ninh mạng có hiệu quả, chương trình giám sát phải đáp ứng yêu cầu sau: phải đảm bảo chương trình ln hoạt động, tính linh hoạt, chức hiệu quả, đơn giản triển khai, chi phí thấp Hiện nay, có nhiều phần mềm hỗ trợ việc giám sát an ninh mạng hiệu Nagios, Zabbix, Zenoss, Cacti,… Trong số Zabbix phần mềm mã nguồn mở với nhiều chức mạnh mẽ, cho phép quản lý thiết bị, dịch vụ hệ thống mạng Nhưng trình triển khai hệ thống giám sát an ninh mạng xảy nguy gây an toàn Chẳng hạn, triển khai hệ thống giám sát an ninh mạng bên phía Agent thu thập thông tin liệu gửi bên phía máy chủ q trình truyền bị công làm nội dung cần thiết khiến cho máy chủ khó kiểm sốt hệ thống Vì vậy, để giải vấn đề cần sử dụng giao thức bảo mật đường truyền đồ án em lựa chọn sử dụng giao thức TLS 1.3 để bảo vệ đường truyền máy chủ giám sát máy Agent CHƯƠNG TỔNG QUAN VỀ HỆ THỐNG GIÁM SÁT AN NINH MẠNG 1.1 Giới thiệu hệ thống giám sát an ninh mạng 1.1.1 Khái niệm Giám sát an ninh mạng (Network Security Mornitoring – NSM): việc thu thập thông tin thành phần hệ thống, phân tích thơng tin, dấu hiệu nhằm đánh giá đưa cảnh báo cho người quản trị hệ thống Đối tượng giám sát an ninh mạng tất thành phần, thiết bị hệ thống mạng như: - Các máy trạm - Cơ sở liệu - Các ứng dụng - Các server - Các thiết bị mạng Hệ thống giám sát an ninh mạng viết tắt SIEM (Security information and event management – SIEM) hệ thống thiết kế nhằm thu thập phân tích nhật ký, kiện an ninh từ thiết bị đầu cuối lưu trữ tập trung Nguyên lý hệ thống giám sát an ninh mạng thu thập liệu kiện an ninh từ nhiều thiết bị khác vị trí khác hệ thống Từ giúp người quản trị dễ dàng theo dõi tất liệu vị trí để phát xu hướng theo dõi dấu hiệu bất thường dấu hiệu công mạng xảy [3] Hiện có nhiều cơng cụ hỗ trợ giám sát mạng an ninh mạng hỗ trợ công việc cho người quản trị mạng, giúp giám sát trạng thái hoạt động thiết bị mạng thơng báo cho người quản trị có cố an ninh mạng hay lỗi phần cứng … Có hệ thống giám sát thương mại Qradar SIEM … Bên cạnh cịn có hệ thống mã nguồn mở Cacti, Nagios, Zabbix … hệ thống có đặc trưng riêng 1.1.2 Vai trị lợi ích hệ thống giám sát an ninh mạng Hệ thống giám sát an ninh mạng đóng vai trị quan trọng, thiếu hạ tầng công nghệ thông tin (CNTT) quan, đơn vị, tổ chức Hệ Hình 3.15 Zabbix cảnh báo - Kết xem Zabbix, tải CPU máy chủ dịch vụ Web tăng vọt phải xử lý lượng truy vấn lớn từ cơng cụ DDoS, theo hình 3.16 Hình 3.16 Tải CPU máy chủ dịch vụ Web - Tài nguyên CPU máy chủ dịch vụ Web sử dụng tăng vọt theo hình 3.17 Hình 3.17 CPU sử dụng máy chủ dịch vụ Web - Dung lượng nhớ máy chủ dịch vụ Web sử dụng tăng vọt theo hình 3.18 58 Hình 3.18 Dung lượng nhớ sử dụng máy chủ dịch vụ Web - Lưu lượng mạng máy chủ dịch vụ Web tăng vọt theo hình 3.19 Hình 3.19 Lưu lượng mạng máy chủ dịch vụ Web 3.3.3 Triển khai bảo mật đường truyền máy chủ dịch vụ Web (Zabbix Agent) máy chủ Zabbix sử dụng TLS 1.3 chế độ bắt tay PSK (khóa chia sẻ trước) 3.3.3.1 Bắt gói tin chưa cài đặt TLS 1.3 - Sử dụng Wireshark để bắt gói tin đường truyền thu phiên liên lạc máy chủ Zabbix có địa IP 192.168.2.45 máy dịch vụ Web có IP 192.168.2.50 chưa cài đặt TLS 1.3 thực cơng phương pháp nghe hình 3.20 59 Hình 3.20 Phiên liên lạc Zabbix Server máy chủ dịch vụ Web chưa cài TLS 1.3 3.3.3.2 Triển khai giao thức TLS 1.3 với chế độ bắt tay PSK cho máy chủ dịch vụ Web Zabbix Server Chi tiết bước cài đặt phụ lục C - Bước 1: Chọn host vừa tạo, kích chuột vào Encryption chọn PSK Add PSK identity khóa PSK vừa tạo, ZBX trạng thái màu đỏ Hình 3.21 Add PSK identity khóa PSK vừa tạo 60 - Bước 2: Chọn Update ZBX chuyển sang màu xanh thêm PSK thành cơng Hình 3.22 Thêm PSK thành cơng Sau tiếp tục sử dụng wireshark để bắt gói tin đường truyền thu phiên liên lạc máy chủ Zabbix có địa IP 192.168.2.45 máy dịch vụ Web có địa IP 192.168.2.50 Có đầy đủ bước bắt tay xác thực phiên liên lạc trao đổi thống thuật toán, tham số mật mã dùng để mã hóa đường truyền Khi kẻ cơng thực nghe đường truyền thu kết tồn nội dung mã hóa hình 3.23 61 Hình 3.23 Kết bắt gói tin TLS 1.3 đường truyền máy chủ dịch vụ Web máy chủ Zabbix 3.4 Kết luận chương Chương triển khai hệ thống giám sát mã nguồn mở Zabbix giao thức bảo mật đường truyền TLS 1.3 Cụ thể trình bày nội dung sau - Mơ hình triển khai hệ thống giám sát Zabbix - Các bước cài thực cài hệ thống máy chủ Zabbix máy chủ dịch vụ Web - Kết giám sát máy chủ dịch vụ Web máy chủ Zabbix chưa thực công - Thực công kết giám sát máy chủ dịch vụ Web máy chủ Zabbix sau bị công - Thực cài mã hóa đường truyền sử dụng khóa chia sẻ trước PSK 62 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN Các kết đạt sau: - Mặt sở lý thuyết + Đồ án giới thiệu hệ thống giám sát an ninh mạng vai trò lợi ích hệ thống giám sát an ninh mạng + Trình bày giao thức quản trị mạng đơn giản, thành phần giao thức quản trị mạng đơn giản, hoạt động giao thức quản trị mạng đơn giản SNMP + Kiến trúc, cách thức hoạt động hệ thống Zabbix + Tổng quan giao thức bảo mật đường truyền TLS 1.3 - Kết đạt được + Hiểu giao thức quản lý mạng đơn giản SNMP + Triển khai thử nghiệm hệ thống giám sát an ninh mạng sử dụng mã nguồn mở Zabbix giám sát thành công máy chủ máy chủ Web + Hiểu giao thức bảo mật đường truyền TLS 1.3 - Hướng phát triển + Tích hợp thơng báo cố qua SMS + Áp dụng hệ thống Zabbix vào hệ thống thật, thiết lập cấu hình nâng cao để giám sát hệ thống môi trường phức tạp + Tùy biến thuật toán mật mã TLS 1.3 kết hợp với Zabbix 63 TÀI LIỆU THAM KHẢO Tiếng Việt [1] Phạm Hồng Khải, “Nghiên cứu triển khai hệ thống giám sát quản trị mạng [2] (trên tảng mã nguồn mở Nagios)”, khóa luận tốt nghiệp đại học hệ quy, Đại học cơng nghệ, Đại học quốc gia Hà Nội, 2009 Vân Ngọc, “Giao thức bảo mật TLS 1.3 - nhanh hơn, an tồn hơn”, tạp chí an tồn thơng tin, 2018 Tiếng Anh [3] Anatolii Shokhin, “Network monitoring with Zabbix”, MAMK University of Applied Scinences, 2015 [4] Andrea Dalle Vacche, Stefano Kewan Lee, “Zabbix Network Monitoring [5] Essentials”, Packt Publishing Ltd, 2015 Patrik Uytterhoeven, “Zabbix Cookbook”, Packt Publishing Ltd, 2015 [6] Douglas R Mauro and Kevin J Schmidt, “Essential SNMP”, 2001 [7] RFC 8446, “The Transport Layer Security (TLS) Protocol Version 1.3”, 2018 [8] https://www.zabbix.com/documentation/5.0/manual [10] Apache httpd : Install https://www.server-world.info/en/note?os=CentOS_8&p=httpd&f=1 [11] PHP 7.2 : Install https://www.server-world.info/en/note?os=CentOS_8&p=php&f=1 [12] MariaDB 10.3 : Install https://www.server-world.info/en/note?os=CentOS_8&p=mariadb&f=1 64 PHỤ LỤC A CÁC BƯỚC CÀI ĐẶT ZABBIX SERVER A Chuẩn bị môi trường - Sử dụng hệ điều hành Centos - Sử dụng quyền root - Bước Disable SELINUX # nano /etc/selinux/config […] SELINUX= disabled […] - Bước Khởi động lại server để xác nhận thay đổi # reboot - Bước Cài đặt, cấu hình khởi động service httpd [10] - Bước Cài đặt PHP [11] - Bước Cài đặt MariaDB để cấu hình Máy chủ database khởi động service database [12] B Cài đặt, cấu hình Zabbix Server - Bước 1: Cài đặt mô-đun PHP cần thiết download Zabbix repository # dnf -y install php-mysqlnd php-gd php-xml php-bcmath php-ldap # dnf -y install https://repo.zabbix.com/zabbix/5.0/rhel/8/x86_64/zabbixrelease-5.0-1.el8.noarch.rpm - Bước 2: Cài đặt Máy chủ Zabbix Để tự giám sát Zabbix Server, cài đặt Zabbix Agent #dnf -y install zabbix-server-mysql zabbix-web-mysql zabbix-apache-conf zabbix-agent zabbix-get - Bước Tạo Database cho Zabbix + Login database #mysql -u root -p + Tạo database có tên zabbix cho Zabbix Server • MariaDB[(none)]> create database zabbix character set utf8 collate utf8_bin; 65 Query OK, row affected (0.00 sec) + Gán quyền cho user zabbix với mật “anhem” cho database zabbix • MariaDB[(none)]>grant all privileges on zabbix.* to zabbix@'localhost' identified by 'anhem'; Query OK, rows affected (0.00 sec) + Áp dụng thay đổi khỏi Database • MariaDB[(none)]> flush privileges; • MariaDB[(none)]> exit; - Bước Nhập liệu database vào zabbix # cd /usr/share/doc/zabbix-server-mysql/ # gzip -d create.sql.gz # mysql -u root -p zabbix < create.sql - Bước 5.Cấu hình khởi động Zabbix Server # nano /etc/zabbix/zabbix_server.conf DBName=zabbix DBUser=zabbix DBPassword=anhem # systemctl restart zabbix-server # systemctl start zabbix-server # systemctl enable zabbix-server - Bước Mở port Firewall #firewall-cmd add-service={http,https} permanent # firewall-cmd add-port={10051/tcp,10050/tcp} permanent # firewall-cmd reload - Bước Cấu hình khởi động Zabbix Agent để tự giám sát Zabbix Server # nano /etc/zabbix/zabbix_agentd.conf […] Server=127.0.0.1 ServerActive=127.0.0.1 Hostname= Zabbix server […] # systemctl restart zabbix-Agent # systemctl start zabbix-Agent 66 # systemctl enable zabbix-Agent - Bước 8:Thay đổi cài đặt restart httpd # nano /etc/httpd/conf.d/zabbix.conf + dòng 10: thêm quyền truy cập cho giao diện người dùng Zabbix Web bạn cần + theo mặc định, Tất phép #Require all granted Require ip 127.0.0.1 192.168.2.45 /24 #nano /etc/php-fpm.d/zabbix.conf + dòng cuối cùng: bỏ ghi thay đổi múi bạn Date.timezone = Asia/Ho_Chi_Minh #systemctl restart httpd 67 PHỤ LỤC B CÁC BƯỚC CÀI MÁY CHỦ DỊCH VỤ WEB - Bước 1.Cài đặt Apache #dnf -y install httpd - Bước Mở port Firewalld cho phép dịch vụ HTTP sử dụng 80/TCP #firewall-cmd add-service=http permanent #firewall-cmd reload - Bước Khởi động kiểm tra Web server + Khởi động Web server # systemctl restart httpd # systemctl start httpd # systemctl enable httpd - Bước Cài đặt server ảo + Tạo folder html cho luongh27.com sau #sudo mkdir -p /var/www/luongh27.com/html + Tạo folder bổ sung để lưu trữ file log cho trang web: #sudo mkdir -p /var/www/luongh27.com/log + Tiếp theo, định quyền sở hữu folder html với biến môi trường $USER: #sudo chown -R $USER:$USER /var/www/luongh27.com/html + Đảm bảo root web bạn có quyền mặc định đặt: #sudo chmod -R 755 /var/www/luongh27.com/html + Tạo trang index.html: # sudo nano /var/www/luongh27.com/html/index.html luongh27 Đồ án tốt nghiệp Nghiên cứu triển khai hệ thống giám sát an ninh mạng sử dụng mã nguồn mở Zabbix có bảo mật đường truyền với TLS 1.3 Học viên:Nguyễn Đức Lương Lớp H27 + Tạo hai folder sites-enabled sites-available sau #sudo mkdir /etc/httpd/sites-available /etc/httpd/sites-enabled + Tiếp theo, bạn yêu cầu Apache tìm kiếm server ảo folder sitesenabled Để thực điều này, chỉnh sửa file cấu hình Apache thêm dịng khai báo folder tùy chọn cho file cấu hình bổ sung: #sudo nano /etc/httpd/conf/httpd.conf IncludeOptional sites-enabled/*.conf + Bấm Ctrl+ O nhấn Enter để lưu file, Ctrl +X để thoát nano + Đến bạn có folder server ảo bạn #sudo nano /etc/httpd/sites-available/luongh27.com.conf + Thêm đoạn cấu hình sau thay đổi domain luongh27.com bạn câu lệnh : nano /etc/httpd/sites-available/luọng27.com.conf ServerName www.luongh27.com ServerAlias luongh27.com DocumentRoot /var/www/luongh27.com/html ErrorLog /var/www/luongh27.com/log/error.log CustomLog /var/www/luongh27.com/log/requests.log combined 69 + Bấm Ctrl+ O nhấn Enter để lưu file, Ctrl +X để thoát nano + Đến file server ảo tạo, kích hoạt chúng để Apache biết để phục vụ chúng cho khách truy cập Để thực việc này, tạo softlink cho server ảo folder sites-enabled : #sudo ls -n /etc/httpd/sites-available/luongh27.com.conf /etc/httpd/sitesenabled/luongh27.com.conf + Sửa file host hiển thị tên miền sudo nano cd /etc/hosts • Thêm dịng sau: 192.168.2.50 www.luongh27.com + Bấm Ctrl+ O nhấn Enter để lưu file, Ctrl +X để thoát nano + Bước 5: Khởi động Web server # systemctl restart httpd # systemctl start httpd # systemctl enable httpd 70 PHỤ LỤC C CÁC BƯỚC CÀI ĐẶT ZABBIX AGENT VÀ PSK CHO MÁY CHỦ DỊCH VỤ WEB A Các bước cài đặt Zabbix Agent cho dịch vụ Web - Bước Cài Zabbix Agent # yum install zabbix-agent -y - Bước Cấu hình zabbix-Agent: Sửa file /etc/zabbix/zabbix_agentd.conf chỉnh sửa số thông tin # nano /etc/zabbix/zabbix_agentd.conf […] Server=192.168.2.45 //địa ip Zabbix Server ServerActive= 192.168.2.45 //địa ip Zabbix Server Hostname= Webserver.local […] - Bước Mở port firewall # firewall-cmd add-port=10050/tcp permanent # firewall-cmd reload - Bước Khởi động bật Zabbix Agent #systemctl restart zabbix-agent #systemctl start zabbix-agent #systemctl enable zabbix-agent - Bước Sau cấu hình xong kiểm tra Zabbix Agent #systemctl status zabbix-agent B.Các bước cài đặt PSK dịch vụ Web - Bước Tạo khóa PSK + Để bảo mật kết nối Zabbix Server Agent, sử dụng preshared keys (PSK) việc tạo PSK lệnh sau: #openssl rand -hex 32 > /etc/zabbix/zabbix_agentd.psk - Bước Kiểm tra khóa PSK + Lệnh tạo file PSK đường dẫn /etc/zabbix/zabbix_agentd.psk Bạn kiểm tra PSK cách sau: 71 # cat /etc/zabbix/zabbix_agentd.psk • 72c9905d42f384fa37fc304d8f5ccdff3fea114da395829dfc276ac13 94dac54//để khai báo web tạo Host - Bước Chỉnh sửa nội dung file cấu hình Agent # nano /etc/zabbix/zabbix_Agentd.conf + Các bạn chỉnh sửa thơng số sau: • Server=192.168.2.45 //Địa IP Zabbix Server • ServerActive=192.168.2.45 //Địa IP Zabbix Server • Hostname=Webserver.local //Host name phải trùng với Host name tạo Host Web • TLSConnect=psk //Sửa thành psk để sử dụng chứng thực kết nối từ Server đến Agent psk • TLSAccept=psk //Sửa thành psk để sử dụng chứng thực kết nối từ Server đến Agent psk • TLSPSKIdentity=psk 001 //Identity để khai báo Web tạo Host • TLSPSKFile=/etc/zabbix/zabbix_agentd.psk //Đường dẫn file psk + Sau cấu hình xong Zabbix Agent khởi động lại dịch vụ: #systemctl restart zabbix-agent #systemctl start zabbix-agent #systemctl enable zabbix-agent + Kiểm tra Zabbix Agent lệnh; #systemctl status zabbix-agent 72