1. Trang chủ
  2. » Luận Văn - Báo Cáo

Đồ án tìm hiểu, triển khai một số dịch vụ giám sát mạng và an toàn mạng

77 5 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Tìm Hiểu, Triển Khai Một Số Dịch Vụ Giám Sát Mạng Và An Toàn Mạng
Tác giả Nguyễn Hoàng Thanh Tùng
Người hướng dẫn Giảng Viên Hướng Dẫn: Đinh Công Đoan
Trường học Trường Đại Học Sư Phạm Kỹ Thuật Thành Phố Hồ Chí Minh
Chuyên ngành Công Nghệ Thông Tin
Thể loại Đồ Án Tốt Nghiệp
Năm xuất bản 2023
Thành phố Tp. Hồ Chí Minh
Định dạng
Số trang 77
Dung lượng 15,21 MB

Cấu trúc

  • 1. TÍNH CẤP THIẾT CỦA ĐỀ TÀI (7)
  • 2. MỤC TIÊU CỦA ĐỀ TÀI (7)
  • 3. ĐỐI TƯỢNG NGHIÊN CỨU VÀ PHẠM VI NGHIÊN CỨU (7)
  • 4. PHƯƠNG PHÁP NGHIÊN CỨU (7)
  • 5. KẾT QUẢ DỰ KIẾN ĐẠT ĐƯỢC (8)
  • CHƯƠNG 1: TỔNG QUAN VỀ GIÁM SÁT MẠNG (9)
    • 1.1. GIÁM SÁT MẠNG (9)
    • 1.2. LỢI ÍCH (9)
    • 1.3. TẦM QUAN TRỌNG (10)
    • 1.4. CÁC LOẠI GIÁM SÁT MẠNG (10)
    • 1.5. CÁCH THỨC HOẠT ĐỘNG (11)
  • CHƯƠNG 2: CÁC GIAO THỨC GIÁM SÁT MẠNG (12)
    • 2.1. SNMP (12)
    • 2.2. NetFlow (17)
  • CHƯƠNG 3: CÁC CÔNG CỤ GIÁM SÁT MẠNG (21)
    • 3.1. PHẦN MỀM GIÁM SÁT NAGIOS (21)
    • 3.2. PHẦN MỀM GIÁM SÁT PRTG (30)
    • 3.3. PHẦN MỀM GIÁM SÁT ICINGA (35)
  • CHƯƠNG 4: AN TOÀN MẠNG (39)
    • 4.1. TỔNG QUAN VỀ AN TOÀN MẠNG (39)
    • 4.2. TẦM QUAN TRỌNG (40)
    • 4.3. CÁC CUỘC TẤN CÔNG MẠNG VÀ CÁCH PHÒNG CHỐNG (40)
  • CHƯƠNG 5: MÔ PHỎNG GIÁM SÁT HỆ THỐNG MẠNG (46)
    • 5.1. XÂY DỰNG HỆ THỐNG MẠNG (46)
    • 5.2. TRIỂN KHAI DỊCH VỤ GIÁM SÁT (47)
    • 5.3. AN TOÀN CHO HỆ THỐNG (58)
  • TÀI LIỆU THAM KHẢO (75)

Nội dung

TÍNH CẤP THIẾT CỦA ĐỀ TÀI

Hiện nay đa số các doanh nghiệp là nguồn cung cấp việc làm và là nguồn kinh tế chính của quốc gia Hầu như các doanh nghiệp đều sử dụng các công nghệ thiết bị hiện đại nên cần phải có 1 hệ thống mạng ổn định và sẵn sàng đó là yếu tố quan trọng để doanh nghiệp đó phát triển lâu dài.

Tuy nhiên, theo khảo sát, ngoài các doanh nghiệp lớn chuyên về công nghệ thông tin và an toàn thông tin, các doanh nghiệp khác chưa chú trọng tới việc giám sát hoạt động hệ thống,dịch vụ mạng máy tính của doanh nghiệp mình Vì vậy việc tìm hiểu triển khai các dịch vụ giám sát mạng nhằm hỗ trợ các doanh nghiệp trong việc giám sát, quản trị hệ thống mạng,giúp đối phó với các nguy cơ và rủi ro mất dữ liệu hay các sự cố mạng là cần thiết.

MỤC TIÊU CỦA ĐỀ TÀI

Nghiên cứu về hệ thống giám sát mạng, các giao thức giám sát mạng (SNMP, NetFlow, sFlow, jFlow, …) và các công cụ giám sát mạng (Nagios, PRTG, Zabbix, Cacti, Icinga, Solarwinds, …) đang được sử dụng và triển khai hiện nay trên thế giới. Đề xuất triển khai phần mềm giám sát mạng Nagios, đánh giá hiệu quả khi triển khai giám sát một hệ thống mạng doanh nghiệp nhỏ khi bị tấn công mạng. Đưa ra giải pháp an toàn và khắc phục sự cố xảy ra cho hệ thống đó.

PHƯƠNG PHÁP NGHIÊN CỨU

-Thu thập nghiên cứu về hệ thống giám sát mạng, giao thức giám sát và các công cụ giám sát mạng.

- Đề xuất sử dụng phần mềm giám sát Nagios cho việc giám sát.

-Xây dựng mô hình thực nghiệm hệ thống mạng doanh nghiệp nhỏ trên môi trường ảo hóa VMware kết hợp với GNS3.

-Xây dựng mô hình mô phỏng hệ thống mạng đơn giản hóa hệ thống doanh nghiệp nhỏ

- Giám sát đồng thời tấn công mạng vào hệ thống mạng của mô hình thực nghiệm, phân tích những kết quả thu được sau khi tấn công và đưa ra giải pháp an toàn cho hệt thống.

KẾT QUẢ DỰ KIẾN ĐẠT ĐƯỢC

Kiến thức về giám sát mạng, giao thức giám sát mạng, công cụ giám sát mạng, các cuộc tấn công mạng và an toàn mạng.

Giám sát tình trạng, hiệu suất các thiết bị mạng, router, switch trong hệ thống mạng của doanh nghiệp trước và sau khi bị tấn công, đưa ra giải pháp khắc phục khi xảy ra sự cố.

TỔNG QUAN VỀ GIÁM SÁT MẠNG

GIÁM SÁT MẠNG

Giám sát mạng là quá trình quan sát liên tục theo dõi một mạng máy tính, phân tích xử lý các gói dữ liệu được truyền tải trên mạng máy tính, cung cấp thông tin về tình trạng hoạt động của mạng, thông báo cho các quản trị viên mạng khắc phục kịp thời nếu có sự cố xảy ra trong thời gian thực.

Giám sát mạng là một việc quan trọng, cần thiết cho một hệ thống mạng duy trì tính toàn vẹn, giúp quản trị viên mạng quản lý mạng, theo dõi hiệu suất hoạt động, sử dụng băng thông của hệ thống, đảm bảo tính sẵn sàng, đưa ra cảnh báo phòng tránh thời gian ngừng hoạt động, xác định các mối đe dọa tiềm ẩn, kịp thời khắc phục các vấn đề khi xảy ra sự cố hoặc bị tấn công mạng.

Việc giám sát có thể được thực hiện thủ công nhưng với một hệ thống có hàng chục, hàng trăm thiết bị mạng, ứng dụng, dịch vụ sẽ rất tốn công sức và thời gian, không mang lại hiệu quả Vì vậy người quản trị cần xây dựng một hệ thống giám sát mạng để thực hiện công việc giám sát một cách tự động và chủ động hơn.

Hệ thống giám sát mạng (Network Mornitoring System) là hệ thống sử dụng các phần mềm giám sát mạng thực hiện công việc thu thập thông tin về tình trạng, hiệu suất của các thiết bị mạng trong hệ thống để phân tích và đưa ra các thông tin hỗ trợ cho người quản trị có cái nhìn tổng quan, chi tiết về môi trường mạng.

Dựa trên những thông tin thu thập được, hệ thống phân tích và tổng hợp thành báo cáo,gửi cảnh báo tới người quản trị thông qua Email, SMS, … để kịp thời xử lý và đưa ra phương pháp an toàn cho hệ thống, giúp họ có được cái nhìn tổng thể về tình trạng, hiệu suất và các mối quan tâm tiềm ẩn của hệ thống mạng mà họ quản lý.

LỢI ÍCH

- Khả năng hiển thị: có bức tranh tổng quan, dễ hiểu về tất cả thiết bị, ứng dụng, dịch vụ trong hệ thống mạng chỉ trong nháy mắt, giúp nhận biết liệu có bất kỳ vấn đề nào đang xảy ra hoặc dự đoán vấn đề đó sẽ xảy ra để xử lý.

-Tự động hóa: tuy việc này cần sử dụng nhiều tài nguyên để nó tự động xử lý vấn đề nhưng thay vào đó chúng ta có thể dùng thời gian để xử lý các vấn đề đó dành cho các dự án khác giúp tạo ra giá trị cốt lõi khác cho tổ chức.

- Cung cấp thông tin, cảnh báo sớm về nhu cầu bổ sung hoặc nâng cấp cho hệ thống hay

-So sánh lưu lượng truy cập ở các giờ cao điểm trong ngày và trong mùa, xác định những đột biến về lưu lượng truy cập có thể xảy ra sự cố để phòng bị cho dù là do nhu cầu sử dụng hay do tấn công mạng.

TẦM QUAN TRỌNG

Trong doanh nghiệp, hệ thống mạng có vai trò rất quan trọng nên việc để xảy ra lỗi mạng hay vấn đề liên quan tới hệ thống sẽ ảnh hướng rất lớn đến doanh nghiệp, vì vậy giám sát mạng mang lại một số lợi ích rất quan trọng cho doanh nghiệp như:

+Tiết kiệm thời gian, tiết kiệm chi phí: giảm thời gian ngừng hoạt động và tăng tốc độ khắc phục do hỗ trợ phân tích nguyên nhân của sự cố.

+Phát hiện các vấn đề về hiệu suất trước khi chúng gây ảnh hưởng tới các hoạt động kinh doanh hoặc trải nghiệm của khách hàng.

+Hỗ trợ nâng cao việc bảo mật bằng cách phát hiện các lưu lượng truy cập không mong muốn hoặc không xác định từ thiết bị mạng nào đó ở bên ngoài kết nối vào hệ thống, cũng như phát hiện việc sử dụng ứng dụng giả mạo do việc giám sát có thể xác định được những ứng dụng cần được theo dõi và xem người dùng đó đang làm gì, đó có thể là dấu hiệu của các cuộc tấn công mạng hay nỗ lực tống tiền.

CÁC LOẠI GIÁM SÁT MẠNG

- Network packet analyzers (Bộ phân tích gói mạng): kiểm tra dữ liệu trong mỗi gói di chuyển qua mạng và thông tin bên trong các gói có thể xác định xem chúng có được định tuyến chính xác hay không, liệu nhân viên có đang truy cập các trang web bị cấm hay dữ liệu nhạy cảm bao gồm personally identifiable information (PII) chẳng hạn như thông tin xã hội đang được lọc ra khỏi mạng.

- Application and services monitoring (Giám sát ứng dụng và dịch vụ): tập trung vào hệ thống và các thiết bị cần thiết để duy trì tính toàn vẹn của mạng nhằm đảm bảo chúng đang hoạt động trong giới hạn bình thường cũng như cho biết ứng dụng nào đang được đơn vị nào trong doanh nghiệp sử dụng.

-Access Management monitoring (Giám sát quản lý truy cập): đảm bảo rằng những kẻ xâm nhập không được cấp quyền truy cập vào tài nguyên mạng, ví dụ nếu một nhân viên đăng nhập từ một địa chỉ IP ở nơi khác Điều này có thể nhanh chóng phát hiện các lỗ hổng mạng và giúp khắc phục chúng cũng như phát hiện những kẻ xâm nhập trước khi chúng có thể gây hại.

- Bandwidth Monitoring (Giám sát băng thông): kiểm tra biến động bất thường của lưu lượng truy cập trong hệ thống mạng để tránh việc tắc nghẽn trì trệ và cũng có thể là do tấn công mạng.

- Trap monitoring (Giám sát Trap): nhờ vào một giao thức cho phép giám sát này và một bộ thu/phát tạo ra các bẫy and/or để thu thập các thông báo khẩn cấp lưu thông qua mạng.

-Syslog monitoring (Giám sát nhật ký): để thu thập những thông tin, báo cáo tạo thành nhật ký để có thể so sánh tình trạng của hệ thống mạng theo thời gian qua từng giai đoạn.

CÁCH THỨC HOẠT ĐỘNG

Giám sát mạng được thực hiện bằng các phương pháp từ xa để từ một nơi có thể quét mạng và nhận thông tin của hệ thống mạng, có thể đơn giản xem nó đơn giản như việc các thiết bị mạng có phản hồi một lệnh đơn giản như ping, để xem chúng có được kết nối, bật hay được gọi là còn “sống” hay không.

Không cần biết thành phần bị giám sát là máy chủ, router, … chỉ biết rằng ít nhất chúng vẫn ở đó và phản hồi lại, nếu ngừng phản hồi thì chắc chắn biết được chúng đã xảy ra gì đó với chúng.

Có thể định kỳ làm việc đó 5 phút một lần (mặc định) hoặc điều chỉnh chu kỳ lên 1 phút -

1 tiếng 1 lần tùy vào mức độ quan trọng của thành phần muốn giám sát trong hệ thống ví dụ như các thiết bị mạng đầu cuối (pc, máy in, …) có thể cài nửa tiếng hoặc 1 tiếng nhưng những thiết bị quan trọng như router, core switch, server thì cần phải giám sát định kỳ nhiều hơn. Đó là giám sát mạng và điều này không chỉ giám sát mỗi thiết bị mà còn mở rộng sang việc giám sát các ứng dụng, dịch vụ, …

CÁC GIAO THỨC GIÁM SÁT MẠNG

SNMP

SNMP (Simple Network Management Protocol), giao thức quản lý mạng đơn giản, là một giao thức quản lý được Hội đồng Kiến trúc Internet (IAB) xác định trong RFC1157 để trao đổi thông tin quản lý giữa các thiết bị mạng Đây là một giao thức quản lý phổ biến được sử dụng rộng rãi vì nó miễn phí và có mã nguồn mở, hầu hết các thiết bị mạng đều được cài đặt SNMP.

SNMP là một giao thức lớp ứng dụng trong đó 1 manager có thể quản lý 1 tập hợp các agent, được thiết kế ở cấp độ ứng dụng có thể giám sát các thiết bị do các nhà sản xuất khác nhau sản xuất và được sử dụng trong một mạng không đồng nhất được tạo thành từ các mạng LAN và WAN khác nhau kết nối bởi router, switch, …

Hình 2.1 Mô hình giao thức SNMP

SNMP Manager: Là bộ phận quản lý, thường là một máy tính sử dụng để vận hành một hay nhiều hệ thống quản lý mạng, có vai trò gửi các Request, nhận các Response và xác nhận các sự kiện không đồng bộ từ SMNP Agent.

SMNP Agent: Các Agent thường được đóng gói trong các thiết bị mạng, cần kích hoạt và cấu hình để các Agent có thể giao tiếp, truyền thông tin cung cấp cho SNMP manager khi được truy vấn Chúng có vai trò thu thập, lưu trữ một cơ sở dữ liệu về thông tin, chỉ số hiệu suất hoạt động của thiết bị được gọi là Management Information Base (MIB), và chúng có thể chủ động báo các sự kiện (Trap) cho Manager.

Management information base (MIB): Mỗi tác nhân có MIB riêng, là tập hợp tất cả các đối tượng mà Manager có thể quản lý MIB được phân loại thành tám nhóm: hệ thống (system), giao diện (interface), dịch địa chỉ (address translation), ip, icmp, tcp, udp và egp.

Structure of management information (SMI): là một thành phần được sử dụng trong quản lý mạng Chức năng chính của nó là xác định loại dữ liệu có thể được lưu trữ trong một đối tượng và chỉ ra cách mã hóa dữ liệu để truyền qua mạng.

Do có cấu trúc đơn giản giao thức SNMP có các lệnh cơ bản để trao đổi thông tin giữa Manager và Agent gồm:

+Get: Manager gửi tin nhắn yêu cầu Get Request, Get-next Request để nhận thông tin từ Agent và sau khi nhận được request, Agent sẽ trả về tin nhắn Get Response chứa thông tin được yêu cầu hoặc thông báo lỗi giải thích không thể xử lý request.

+Set: Manager yêu cầu thực hiện cài đặt hoặc thay đổi đối với thiết bị được quản lý, sau đó Agent gửi Set Response về thông báo thông tin đã được thay đổi hoặc lỗi giải thích tại sao không thể thực hiện thay đổi.

+ Trap: Agent chủ động gửi cho Manager khi một sự kiện xảy ra để cảnh báo Manager thay vì đợi request từ Manager.

Ngoài ra còn có thành phần Inform: giống với Trap nhưng Agent sau khi chủ động gửi tin nhắn Inform cho Manager sẽ nhận tin nhắn response về, nếu không nhận được tin nhắn response từ Manager thì Agent sẽ gửi lại tin nhắn Inform.

Hình 2.3 Mô hình giao thức hoạt động của SNMP

SNMP sử dụng mô hình truyền thông phân lớp:

+Network Access layer: Network-Dependent protocols

Như trên hình 2.3 cho thấy SNMP thuộc về lớp ứng dụng (Application layer) trong mô hình giao thức, nó sử dụng UDP làm giao thức vận chuyển trên mạng IP.

Theo cơ chế vận chuyển giữa manager và agent, trước hết manager cần xác định được agent (như tên hệ thống, OID) mà nó muốn liên lạc sau đó packet chuyển tới lớp UDP, ở đây cổng UDP 161 được gán dành riêng cho các SNMP agent, tiếp đến là lớp IP gán địa chỉ IP vào và cuối cùng toàn bộ packet chuyển tới lớp Network Access xác minh khả năng truy cập và tính khả dụng của phương tiện rồi đặt packet lên phương tiện truyền thông vận chuyển tới agent, tại agent thì packet cũng đi qua bốn lớp giống vậy nhưng theo thứ tự ngược lại với manager.

Là phiên bản đời đầu của giao thức SNMP, được thực hiện vào những năm 1980 bởi một nhóm cộng tác viên đã xem nỗ lực của cả hai OSI/IETF/NSF (National Science Foundation) và HEMS/CMIS/CMIP đều không thể thực hiện được trong các nển tảng điện toán vào thời điểm đó cũng như có khả năng không khả thi SNMP đã dược phê duyệt rằng đó là một giao thức tạm thời cần thiết để thực hiện các bước hướng tới triển khai Internet quy mô lớn và thương mại hóa Internet.

Nhưng SNMPv1 đã bị chỉ trích vì tính bảo mật kém, do tính bảo mật phụ thuộc vào bảo mật của hệ thống mạng, do suy nghĩ chủ quan được sử dụng trong một hệ thống mạng đã được xây dựng đầy đủ an toàn nên không cần thiết phải mã hóa cho các message của SNMP. b SNMPv2:

Là phiên bản được cải tiến từ SNMPv1 về các lĩnh vực hiệu suất, bảo mật và giao tiếp manager-to-manager Nó giới thiệu về GetBulkRequest, một giải pháp thay thế cho Được giới thiệu thêm về option cho bộ đếm dữ liệu 64-bit có thể lưu trữ các từ 0 tới 18,4 triệu tỉ so với bộ đếm dữ liệu 32-bit của SNMPv1 chỉ có 4,29 tỉ, do bộ đếm của SNMPv1 không thể lưu trữ tốc độ tối đa của interface 10 gigabit hoặc lớn hơn làm cho số liệu thống kê của bộ đếm có thể quay trở lại 0 nên dẫn đến việc dữ liệu bị mất, không hợp lệ làm hỏng quá trình theo dõi.

Tuy nhiên, do hệ thống bảo mật của SNMPv2 quá phức tạp nên đã không được áp dụng rộng rãi Vì vậy SNMPv2c đã ra đời, nó chính là SNMPv2 nhưng không có mô hình bảo mật của SNMPv2 do quá phức tạp nên họ đã dùng SNMPv2c dựa trên việc bảo mật như SNMPv1, việc này đã gây ra tranh cãi và cuối cùng SNMPv2 có hệ thống bảo mật phức tạp đã tách ra và trở thành 1 phần của SNMPv3. c SNMPv3:

NetFlow

NetFlow là một giao thức được sử dụng cho việc thu thập, tổng hợp và ghi lại luồng lưu lượng dữ liệu trong một mạng Dữ liệu NetFlow có thông tin chi tiết hơn về lưu lượng mạng và băng thông so với các giao thức giám sát khác Dữ liệu của nó gồm những thông tin như Source Port, Dest Port, Source IP, Dest IP, giao thức IP và loại dịch vụ.

NetFlow ban đầu được Cisco phát triển vào năm 1995 để theo dõi và ghi lại tất cả lưu lượng mạng đi qua các thiết bị mạng của họ Hầu hết các thiết bị của Cisco và các nhà sản xuất phần cứng khác đều được hỗ trợ NetFlow hoặc sử dụng sử dụng các công nghệ luồng khác như sFlow của in InMon, jFlow của Jupiter Network, …

NetFlow có tới 10 phiên bản nhưng có một số phiên bản không được triển khai rộng rãi. NetFlow version 1: là phiên bản đời đầu, đã bị lỗi thời hiếm khi được sử dụng ngày nay. NetFlow version 2 đến version 4: là phiên bản nội bộ, không được public.

NetFlow version 5: là phiên bản thông dụng được sử dụng phổ biến ngày nay và nó có thêm giao thức cổng biên giới tuy nhiên chỉ hoạt động với các luồng IPv4.

NetFlow version 6: không còn được hỗ trợ và phát hành.

NetFlow version 7: có thêm hỗ trợ cho các thiết bị chuyển mạch (switch) Cisco Catalyst, version 8 là tổng hợp NetFlow nhưng chỉ dựa trên thông tin đã có ở bản ghi version 5.

NetFlow version 9: là phiên bản hiện tại và là Template-based, nó cho phép hỗ trợ mà không cần thay đổi định dạng flow record và hoạt động với cả IPv4 và IPv6.

NetFlow version 10: thực ra nó là IPFIX vì nó dựa trên NetFlow version 9, thường được gợi là NetFlow version 10.

2.2.2 CÁC THÀNH PHẦN VÀ CÁCH THỨC HOẠT ĐỘNG

Hình 2.4 Mô hình giao thức NetFlow

Cách thức hoạt động của NetFlow là các luồng dữ liệu đi qua thiết bị sẽ được ghi lại và tạo thành 1 khối dữ liệu lớn sau đó tạo thành 1 Flow data gửi đến Flow Collector theo định kỳ Sau khi thu thập thông tin, phân tích khối dữ liệu được chuyển tới cho Flow analyzer xử lý và báo cho quản trị viên biết tình hình trạng thái của hệ thống.

Việc giám sát NetFlow gồm 2 thành phần chính:

Flow exporter: là thiết bị mạng hỗ trợ NetFlow (router, firewall,…) chịu trách nhiệm lấy Flow data và xuất sang Flow collector, các luồng được nhóm lại để xuất thành một khối dữ liệu gọi là “NetFlow Export datagram”, mỗi khối dữ liệu Datagram gồm tối đa 30 luồng.

Flow collector: Flow data được báo cáo định kỳ cho Flow collector, Flow collector có thể là một máy chủ hoặc máy tính khác chạy phần mềm NetFlow Receiver Software được thiết kế để thu thập, ghi lại, lọc và phân tích các Flow data, các khối dữ liệu được xuất bằng giao thức UDP nên địa chỉ IP của Flow collector và cổng đích phải được cấu hình trên Flow exporter.

Hình 2.5 Mô hình giao thức hoạt động của NetFlow

Flow: luồng được tạo bằng cách nhóm các packet một chiều thành một gói lớn dựa trên các thuộc tính phù hợp cho mỗi packet gồm IP Source, IP Destination, Source Port, Destination Port, Type of Service, Layer 3 Protocol Type, Interface.

Flow cache: việc giám sát và nhóm các packet tạo thành một packet lớn được lưu vào bộ nhớ đệm của NetFlow gọi là Flow cache, các Flow record giữ cho mỗi luồng hoạt động, khi nhiều luồng nhóm lại sẽ được lưu vào bộ nhớ đệm và chuyển tới Flow collector theo định kỳ.

Flow data: là các loại lưu lượng được theo dõi bằng NetFlow, ví dụ như NetFlow version

9 của PRTG cho phép theo dõi và phân loại các loại lưu lượng theo mặc định: Chat, Citrix, FTP/P2P, Infrastructure (DHCP, DNS, ICMP, SNMP), Mail, NetBIOS, Remote Control Protocols, WWW, Total Traffic.

Flow analyzer: ứng dụng kiểm tra phân tích xử lý các Flow data thu được từ Flow collector thành những thông tin chi tiết, có ý nghĩa thực tiễn.

+Tối ưu hóa sử dụng băng thông: quản lý lưu lượng băng thông được sử dụng ở từng khu vực một cách hợp lý.

+Nâng cao khả năng hiển thị mạng: biết được các địa chỉ IP mà người dùng đã giao tiếp, các ứng dụng mà người dùng đã truy cập.

+An ninh bảo mật: giám sát hoạt động trên mạng của người dùng, kiểm tra lưu lượng tiêu thụ tài nguyên lớn tránh nguy cơ các cuộc tấn công mạng xảy ra.

CÁC CÔNG CỤ GIÁM SÁT MẠNG

PHẦN MỀM GIÁM SÁT NAGIOS

Nagios là một hệ thống giám sát mạnh mẽ, cho phép các tổ chức xác định và giải quyết các vấn đề cơ sở hạ tầng CNTT trước khi chúng gây ảnh hưởng đến các quy trình kinh doanh và các hệ thống quan trọng.

Nagios giám sát toàn bộ cơ sở hạ tầng CNTT nhằm đảm bảo hệ thống, ứng dụng, dịch vụ và quy trình nghiệp vụ hoạt động đúng và chính xác Trong trường hợp gặp phải sự cố, Nagios sẽ cảnh báo nhân viên kỹ thuật về vấn đề này, do đó các tổ chức có thể bắt đầu quá trình khắc phục trước khi việc mất lưới điện làm ảnh hưởng đến quá trình kinh doanh, ảnh hưởng đến end user và khách hàng Với Nagios, tổ chức của bạn sẽ không bao giờ phải phải gánh chịu bất cứ tổn hại trầm trọng nào từ việc mất lưới điện.

Kể từ khi phát hành Nagios Core vào năm 1999, hàng triệu người đã sử dụng nó và đóng góp vào mã nguồn mở của nó bằng cách phát triển các plugin để giám sát mọi thứ từ các thiết bị dành riêng cho ngành Cuối cùng, những nhà sản xuất đã nghe được từ những người dùng Nagios Core rằng họ cần một công cụ có thể mở rộng quy mô hiệu quả hơn với các tổ chức của họ Để đáp ứng những nhu cầu này, Nagios XI đã được phát triển,một phần mềm giám sát mạng doanh nghiệp được xây dựng dựa trên công nghệ mạnh mẽ của Nagios Core Nagios XI duy trì sức mạnh được tìm kiếm của Nagios Core trong khi cung cấp các tính năng dành cho doanh nghiệp khiến nó trở nên khác biệt.

Hình 3.1 Các tính năng được hỗ trợ giữa Nagios Core và Nagios XI

Do Nagios XI được xây dựng dựa trên Nagios Core, nên cấu trúc và hoạt động cũng giống tuy có 4 điểm khác biệt giữa chúng là:

+ Yêu cầu kĩ thuật: Nagios XI bỏ qua nhu cầu người dùng hiểu mã dòng lệnh với giao diện thân thiện với người dùng được thiết kế cho người dùng không có kỹ thuật.

+Dễ sử dụng: Giao diện web mạnh mẽ, trực quan của Nagios XI cũng giúp sử dụng dễ dàng hơn Nagios XI được xây dựng nhằm mục đích dễ sử dụng để người dùng không có kỹ thuật có thể đăng nhập vào sản phẩm để truy cập thông tin họ cần Nagios XI cũng có hơn

70 trình hướng dẫn giám sát để thiết lập điểm và nhấp cho các thiết bị được giám sát phổ biến nhất Trong vòng vài phút, người dùng Nagios XI có thể bắt đầu theo dõi một thiết bị mới Để giám sát một thiết bị mới trong Nagios Core, người dùng không chỉ cần hiểu dòng lệnh Linux mà còn phải rất quen thuộc với việc thiết lập giao diện Nagios Core.

+Hỗ trợ kinh doanh: Nagios XI giúp các khách hàng doanh nghiệp thường xuyên cần báo cáo dữ liệu, trình bày thông tin và chứng minh chi phí cho các tài nguyên bổ sung Do việc giám sát cơ sở hạ tầng hiệu quả quan trọng như thế nào đối với hoạt động kinh doanh của khách hang nên lần mua Nagios XI đầu tiên bao gồm một năm quyền truy cập vào Nagios Support Team thông qua cổng bán vé của Support Center và Customer Support Forum, hỗ trợ gọi điện thoại cũng có sẵn.

+ Có sẵn các công cụ tinh vi: Nagios XI có hai phiên bản: tiêu chuẩn và doanh nghiệp Ngoài các tính năng đi kèm với giấy phép tiêu chuẩn, phiên bản doanh nghiệp còn có các công cụ bổ sung khác biệt với Nagios Core Những tính năng này bao gồm:

 Lập kế hoạch dung lượng (Lập kế hoạch dung lượng): Các báo cáo dự đoán ước tính khi nào thiết bị sẽ đạt đến công suất tối đa Các báo cáo này được sử dụng để làm cơ sở cho phần cứng mới.

 Sửa đổi hàng loạt (Bulk Modification): Cho phép người dùng cập nhật hàng nghìn thiết bị cùng một lúc.

 Các trang và báo cáo được lên lịch (Scheduled Reports and Pages): Các báo cáo được lên lịch và bất kỳ trang nào khác trong giao diện để gửi tự động tới những người nhận chính.

Nagios có tính linh hoạt cao có thể cấu hình và giám sát hạ tầng mạng theo cách mà ta muốn Ngoài ra còn có các cơ chế để tự động hành động khi có vấn đề và hệ thống thông báo mạnh mẽ Các chức năng của Nagios bao gồm:

+Giám sát hệ thống: Nagios có thể giám sát và hiển thị trạng thái của các thiết bị, máy chủ, ứng dụng và dịch vụ trong mạng.

+Cảnh báo: Nagios gửi cảnh báo khi có thành phần cơ sở hạ tầng bất ổn định và phục hồi, cung cấp cho các quản trị viên thông báo của các sự kiện quan trọng Cảnh báo có thể được gửi qua email, SMS, hay tùy chỉnh.

+Quản lý cấu hình: Nagios cho phép người quản trị hệ thống dễ dàng cấu hình và quản lý các thiết bị và dịch vụ trong mạng.

+Xử lý sự kiện tự động: Nagios có thể tự động xử lý sự kiện khi xảy ra các tình huống như máy chủ chết, ổ cứng đầy hoặc một dịch vụ không hoạt động.

+Báo cáo: Báo cáo cung cấp một hồ sơ lịch sử của sự cố ngưng hoạt động, sự kiện, thông báo, và phản ứng cảnh báo để xem xét.

+ Mở rộng: Nagios có thể được mở rộng để hỗ trợ nhiều loại thiết bị và ứng dụng khác nhau, và có thể tích hợp với các công cụ báo cáo và giám sát khác.

3.1.3 CÁC THÀNH PHẦN VÀ CẤU TRÚC

Hình 3.2 Các thành phần của Nagios

+ Được cài đặt trên một máy chủ để giám sát các máy chủ, thiết bị mạng và ứng dụng khác.

+Sử dụng Nagios plugin để giám sát và ghi lại các hoạt động của hệ thống mạng.

+Có khả năng cấu hình linh hoạt cho phép người quản trị tùy chỉnh các cảnh báo hay hành động khi có sự cố

+Các cảnh báo được gửi về qua Email, SMS hoặc thông qua các ứng dụng khác. +Cung cấp các báo cáo và đồ thị giúp người quản trị theo dõi hiệu suất của hệ thống.

+Là một tập hợp các script, chương trình hoặc mã nguồn mở được sử dụng để giám sát hệ thống.

+Cung cấp thông tin về trạng thái của các dịch vụ và tài nguyên trên hệ thống, chẳng hạn như bộ nhớ, CPU, ổ đĩa, mạng và ứng dụng.

+Các plugin có thể được viết bằng nhiều ngôn ngữ như Bash, Perl, Python và C.

Hình 3.3 Cấu trúc của Nagios

+Giao diện trên trình duyệt để người dùng tương tác với server của Nagios.

+Nơi lưu trữ các file, các thành phần của Web browser (file html, css, ảnh, …). +Cung cấp dữ liệu lên trình duyệt khi người dùng truy cập sử dụng.

+Còn gọi là giao diện dòng lệnh, nó cung cấp giao thức để Web server sử dụng.

PHẦN MỀM GIÁM SÁT PRTG

PRTG (Paessler Router Traffic Grapher) là một phần mềm giám sát mạng không cần tác nhân (agent) của Paessler AG, một số phiên bản khác đều sử dụng dưới thuật ngữ chung là Paessler PRTG, trong đó bao gồm 3 phiên bản:

Hình 3.5 Các phiên bản của PRTG

+PRTG Network Monitor: là phiên bản không cho phép kiểm tra hiệu suất và kết nối mạng nội bộ cho máy tính nội bộ của bạn nhưng kết nối và kiểm tra mạng cho toàn bộ doanh nghiệp PRTG Network Monitor có thể thực hiện điều này thông qua khoảng 10 kiểu Sensor khác nhau như SNMP, WMI & Netflow Để cài đặt cần có máy tính có hệ điều hành Windows.

+PRTG Enterprise Monitor: Kể từ năm 2020, Paessler đã cung cấp PRTG Enterprise Monitor, một giải pháp giám sát chuyên biệt cho các môi trường CNTT lớn. Ngoài hiệu suất đặc biệt cao cho các vị trí phân tán, PRTG Enterprise Monitor còn bao gồm Bảng ITOps, cung cấp tổng quan hướng dịch vụ tập trung Nó có thể được sử dụng để ánh xạ các quy trình kinh doanh, hợp nhất bảng điều khiển từ nhiều máy chủ, theo dõi hiệu suất và tính khả dụng của SLA, trong số các tính năng khác.

+ PRTG Hosted Monitor: Vào năm 2017, một phiên bản PRTG được lưu trữ trên đám mây đã được phát hành PRTG Hosted Monitor cung cấp phần lớn phạm vi chức năng giống như công cụ tiêu chuẩn Giấy phép được lập hóa đơn hàng tháng và chỉ dựa trên số lượng cảm biến Trái ngược với PRTG Network Monitor và PRTG Enterprise Monitor,

PRTG Hosted Monitor cũng có thể được sử dụng trong các mạng không có máy chủ Windows, vì nó được lưu trữ trên đám mây chứ không phải cục bộ.

Công cụ giám sát mạng PRTG được tạo ra nhờ công ty Paessler của Đức vào năm 1997. PRTG thể giám sát và phân tích các thông tin về hệ thống như mức sử dụng băng thông hay thời gian hoạt động và thu thập số liệu thống kê từ các thiết bị khác nhau như router, switch, server cũng như các thiết bị và ứng dụng khác.

Các chức năng của PRTG:

+Giám sát mạng toàn diện với nhiều loại cảm biến.

+Giám sát băng thông bằng cách sử dụng SNMP.

+Giám sát máy chủ ảo

+Hệ thống cảnh báo dựa trên ngưỡng

+Bảng điều khiển tùy chỉnh

+Bản đồ mạng thời gian thực tùy chỉnh

Hình 3.6 Các tính năng được hỗ trợ trong 3 phiên bản PRTG

Hình 3.7 Cấu trúc của PRTG Cấu trúc của PRTG Network Monitor bao gồm hai phần chính, đó là:

+PRTG Core Server: Vấn đề chính trong quá trình cài đặt PRTG đó là Core Server bao gồm quá trình lưu trữ dữ liệu web Server, các báo cáo về hệ thống lưu trữ. Một Core Server có thể quản lý không giới hạn các Probe để tăng khả năng giám sát Core Server là bộ phận quan trọng trong PRTG để xử lý quá trình: cấu hình quản lý monitor, quản lý và cấu hình kết nối với các Probe, lưu các dòng kết quả của monitor, lập biểu và báo cáo, quản lý các account.

+PRTG Probe: thực hiện quá trình giám sát, nó nhận các cấu hình từ Core Server và thực thi quá trình xử lý sau đó báo cáo kết quả về cho Core Server Một Core Server luôn có một Probe chạy trên cùng máy chủ.

PRTG thi hành bởi các sensor, mỗi sensor đại diện cho đối tượng bị giám sát như: quá trình giao tiếp trên card mạng, quá trình giao tiếp trên một cổng của switch, một thiết bị NetFlow,quá trình hoạt động của CPU hay bộ nhớ, dịch vụ mạng SMTP, FTP, HTTP,…

3.2.4 ƯU NHƯỢC ĐIỂM Ưu điểm:

+ Giám sát mọi thứ: giám sát tất cả các thiết bị, hệ thống, máy chủ, lưu lượng và dịch vụ trong mạng LANs, WANs, …

+ Công nghệ tích hợp: hỗ trợ tất cả các công nghệ quan trọng, kết hợp nhiều giao thức (SNMP, IPFIX, NetFlow, …).

+Khám phá tự động: khám phá thông minh tìm tự động các mạng có trong hệ thống mạng, tự động tạo bộ cảm biến phù hợp.

+Bản đồ và trang tổng quan: sử dụng bản đồ thời gian thực, bảng điều khiển trình thiết kế bản đồ.

+Cảnh báo và thông báo: nhận thông báo khi có sự cố, tùy chỉnh các mẫu báo cáo theo nhu cầu, thông báo về tình trạng hệ thống một cách hiệu quả.

+Cấp phép dựa trên các sensor có thể trở nên đắt đỏ.

+Yêu cầu máy chủ chuyên dụng.

PHẦN MỀM GIÁM SÁT ICINGA

Phần mềm Icinga là một hệ thống mã nguồn mở có chức năng giám sát hệ thống mạng, các máy chủ, các dịch vụ, thông báo tới quản trị viên khi hệ thống có sự cố và đưa ra các giải pháp kịp thời.

Vào tháng 5 năm 2009, phần mềm Icinga ra mắt phiên bản đầu tiên dựa trên mã nguồn được phát triển từ hệ thống giám sát Nagios Do thừa hưởng các tính năng từ Nagios nên nó có thể tương thích với các phần mềm hỗ trợ của Nagios, và đồng thời cũng có thêm nhiều tính năng tùy biến mới như giao diện người dùng Web 2.0, hỗ trợ các hệ quản trị cơ sở dữ liệu phổ biến như MySQL, Oracle và PorgreSQL Phần mềm chạy trên nhiều phiên bản của Linux (bao gồm Fedora, Ubuntu và OpenSuSE) cũng như một số các nền tảng của Unix (Solaris và HP).

Năm 2010, ra mắt phiên bản mới, hỗ trợ chuẩn IpV4 và IpV6, cung cấp các tùy biến để truy cập cơ sở dữ liệu, cải thiên giao diện người dùng và một số phần mềm hỗ trợ khác. Năm 2011, cập nhật phiên bản mới cung cấp nhiều hàm API hơn để hỗ trợ người dùng.

Năm 2012, cho ra đời phiên bản thử nghiệm Icinga 2, khắc phục những hạn chế về cấu hình và khả năng mở rộng của Icinga khi triển khai hệ thống lớn.

Vào tháng 6 năm 2014, ra mắt bản chính thức Icinga 2 với rất nhiều các tính năng mới và giao diện web theo thiết kế phẳng và tương thích với thiết bị di động.

+Giám sát hệ thống mạng

+Giám sát tài nguyên của máy chủ

+Giám sát các thành phần của hệ thống mạng

+Các phần mềm hỗ trợ được thiết kế đơn giản và cho phép người dùng có thể dễ dàng phát triển các dịch vụ để kiểm tra hệ thống.

+ Các hàm API giúp người quản trị có thể dễ dàng tùy biến phát triển mà không cần tác động nhiều đến phần nhân của Icinga.

+Khả năng kiểm tra, giám sát nhiều dịch vụ cùng một lúc.

+Tự động lưu trữ thông tin vào tệp nhật ký (File log)

+Giao diện web cổ điển có các tùy chọn cho phép hiển thị các thông tin như tình trạng của mạng, các thông báo, danh sách lịch sử các sự cố, tệp nhật ký…

+Giao diện web mới, sử dụng giao diện hiện đại của Web 2.0 để hiển thị trạng thái, thông tin lịch sử, sử dụng các bộ lọc thông tin mới và hỗ trợ tạo các báo cáo, hỗ trợ đa ngôn ngữ.

+Chức năng báo cáo của Icinga được xây dựng dựa trên phần mềm Jasper Reports hỗ trợ cả hai giao diện Icinga web cổ điển và Giao diện Icinga web mới.

Hình 3.8 Các thành phần và liên kết của Icinga Gồm 3 thành phần chính gồm:

+ Nhân Icinga: Phần nhân Icinga (Icinga Core) được viết bằng ngôn ngữ lập trình C, có nhiệm vụ giám sát, tiếp nhận các kết quả từ phần mềm hỗ trợ (plugins), sau đó các kết quả được gửi đến cơ sở dữ liệu ngoài của Icinga (IDODB – Icinga Data Out Database) thông qua giao diện mô-đun ngoài của Icinga (IDOMOD – Icinga Data Out Module) và dịch vụ dữ liệu bên ngoài đến cơ sở dữ liệu của Icinga (IDO2DB – Icinga Data Out to Database bằng mã hóa SSL và giao thức TCP) Cả IDOMOD và IDO2DB làm việc hoàn toàn độc lập giúp cho việc phân chia dữ liệu cũng như việc giám sát nhiều máy chủ cùng lúc.

+Giao diện Icinga Web: gồm 2 giao diện web để người sử dụng có thể theo dõi được các kết quả giám sát và gửi các câu lệnh đến nhân Icinga.

 Giao diện web cổ điển dựa theo giao diện của phần mềm Nagios được đóng gói sẵn với nhân Icinga, tiếp nhận dữ liệu thông qua bộ nhớ đệm (cache) và gửi tập lệnh đến tệp tập lệnh.

 Giao diện Icinga Web được xây dựng trên mô hình web 3 lớp Agavi sử dụng ngôn ngữ PHP, lấy nguồn cảm hứng từ web 2.0 với giao diện phẳng và sử dụng phương thức kéo thả để tùy biến bảng điều khiển, nó giao tiếp với nhân Icinga, dữ liệu và các ứng dụng bên thứ ba thông qua lớp thành phần như lớp Doctrine (một loại thư viện PHP cung cấp các hàm dịch vụ và hàm quan hệ), các hàm giao tiếp dịch vụ API (REST API) và giao diện điều khiển các tập lệnh (Command Control Interface).

+ Báo cáo Icinga: chức năng báo cáo dựa trên phần mềm báo cáo mã nguồn mở Jesper, chức năng này được tích hợp và hiển thị trên cả 2 giao diện Icinga Web.

Gồm 2 phương thức là giám sát trực tiếp và giám sát gián tiếp

Hình 3.9 Các cách thức thực hiện giám sát của Icinga

+Giám sát trực tiếp: giám sát các dịch vụ và trực tuyến gồm HTTP, Mail, SSH, ICMP Ping,

+ Giám sát gián tiếp: giám sát thông qua phần mềm tích hợp được đặt trên đối tượng bị giám sát, đối với Linux cần cài đặt NRPE, còn Windows cần cài đặt NSClient++, phương thức này có thể giám sát thêm các thông tin như việc sử dụng ổ đĩa, các tiến trình đang chạy và các thông tin khác, điều này không thể thực hiện được ở việc giám sát trực tiếp. Ngoài ra còn có thể giám sát bằng giao thức snmp.

3.3.5 ƯU NHƯỢC ĐIỂM Ưu điểm:

+Là mã nguồn mở, cung cấp miễn phí, cho phép sửa đổi và cấu hình mã nguồn. +Thừa hưởng từ Nagios, có nhiều plugin để lựa chọn cài đặt.

+Một trong những giải pháp báo cáo và giám sát kỹ lưỡng nhất.

+Cấu hình có thể khó khăn.

+Menu rườm rà khi sử dụng.

+Điều hướng không đăng ký trong các thanh địa chỉ trình duyệt web.

+Tài liệu rộng rãi nhưng không có hướng dẫn sử dụng một cách nhanh chóng.+Không cung cấp bất kỳ sự tư vấn hoặc hỗ trợ bên thứ nhất.

AN TOÀN MẠNG

TỔNG QUAN VỀ AN TOÀN MẠNG

Có rất nhiều các doanh nghiệp về các lĩnh vực khác nhau đều có một hệ thống mạng riêng để quản lý điều hành các hoạt động giúp đem lại hiệu suất và lợi nhuận to lớn cho doanh nghiệp, vì vậy việc bảo vệ an toàn cho máy tính, mạng, dịch vụ, dữ liệu, … của hệ thống rất quan trọng

An toàn là trạng thái không bị nguy hiểm hoặc rủi ro do có các biện pháp bảo vệ được thiết lập và duy trì.

Hình 4.1 Các thành phần an toàn thông tin Các yếu tố thực hiện các biện pháp bảo vệ gồm 3 lớp bảo vệ:

+Thủ tục (Procedures): lên kế hoạch và các chính sách sử dụng các sản phẩm, thiết bị trong hệ thống mạng.

+Con người (People): quản lý nội bộ, người sử dụng, cài đặt và quản lý hệ thống.

Và 3 thực thể: phần cứng, phần mềm và truyền thông

Cần phải đảm bảo 3 tiêu chí tính bảo mật (confidentiality), tính toàn vẹn (integrity) và tính sẵn có (availability), đây là 3 yếu tố quan trọng trong an toàn thông tin.

Vậy an toàn mạng là các biện pháp bảo vệ các thông tin dữ liệu khi truyền dẫn, bảo vệ các thiết bị, máy chủ, dịch vụ trong hệ thống mạng sử dụng để truyền thông tin dữ liệu.

TẦM QUAN TRỌNG

An toàn mạng giúp các tổ chức doanh nghiệp giảm thiểu những hậu quả không mong muốn từ các cuộc tấn công mạng chẳng hạn như tống tiền, phá hoại dịch vụ, làm mất uy tín dịch vụ, … gây ảnh hưởng lớn tới doanh nghiệp.

Mục đích của những kẻ tấn công mạng có thể là sự cạnh tranh giữa các doanh nghiệp, tấn công vào an ninh hay kinh tế của một tổ chức hoặc chỉ đơn giản là kẻ tấn công làm mua vui, thử sức, tò mò, … Để tránh là nạn nhân của những việc đó, phải có các biện pháp phòng tránh an toàn cho hệ thống mạng của doanh nghiệp, hoặc lỡ như có bị thì cũng có cách giải quyết, khắc phục nhanh chóng.

CÁC CUỘC TẤN CÔNG MẠNG VÀ CÁCH PHÒNG CHỐNG

Tấn công mạng là quá trình xâm nhập và can thiệp vào hệ thống mạng do một tổ chức nào đó với mục đích là gây hại cho đối thủ để kiếm lợi cho bản thân, hoặc có thể do một cá nhân nào đó làm cho vui, thử sức với an ninh của hệ thống nào đó.

Có rất nhiều kiểu dạng tấn công trên mạng khác nhau, có một số cuộc tấn công không thể ngăn chặn, chỉ có thể hạn chế, giảm thiểu các rủi ro, mối đe dọa, sau đây là một số các cuộc tấn công mạng phổ biến.

4.3.1 TẤN CÔNG BẰNG CÁC PHẦN MỀM ĐỘC HẠI

Malware là từ kết hợp giữa “malicious” và “software”, nó có nghĩa là phần mềm độc hại,những kẻ tấn công thường sẽ thông qua các lỗ hổng bảo mật, dụ dỗ người dùng click vào đường link được ngụy trang để các phần mềm độc hại tự động tải về cài đặt vào máy tính.

Hình 4.2 Các loại Malware AttackCách phòng chống:

+ Người dùng nên có một chút kiến thức về an toàn trên mạng như không truy cập vào những đường link lạ, cố tải và cài đặt những phần mềm không an toàn, không rõ nguồn gốc.

+ Cài đặt phần mềm diệt virus, thường xuyên quét máy tính để phát hiện các phần mềm độc hại.

+Cập nhật các bản vá lỗi từ hệ điều hành, cập nhật các phiên bản mới của phần mềm diệt virus để phát hiện thêm những loại malware mới.

+Tạo và lưu trữ các dữ liệu dự phòng.

4.3.2 TẤN CÔNG GIẢ MẠO (PHISING ATTACK) Đây là hình thức tấn công giả mạo thành một đơn vị, cá nhân uy tín để lợi dụng lòng tin của nạn nhân, nhắm đến việc đánh cắp những dữ liệu cá nhân nhạy cảm như thông tin thẻ tín dụng, tài khoản mật khẩu của các ứng dụng khác.

Hình 4.4 Cách thức hoạt động của Phising Attack

Hình 4.5 Các cách phòng chống Phising Attack

+Người dùng nên có kiến thức về an toàn trên mạng như để ý xác nhận những thông tin hoặc kiểm tra chính tả các đường link từ người gửi, đề phòng các email lừa đảo, tránh cung cấp thông tin cá nhân một cách tùy tiện công khai trên mạng xã hội.

+Tránh đặt mật khẩu đơn giản, cài đặt bảo mật cho mật khẩu, xác thực 2 bước (xác thực qua mail hoặc ứng dụng do nhà phát hành cung cấp).

4.3.3 TẤN CÔNG TRUNG GIAN (MAN-IN-THE-MIDDLE ATTACK)

Hay còn gọi là tấn công nghe lén (sniffing), xảy ra khi kẻ tấn công xen vào một giao dịch giữa 2 đối tượng, chúng có thể nghe lén, đánh cắp dữ liệu, nguy hiểm hơn là chúng có thể thay đổi và chuyển các thông tin không đúng.

Hình 4.7 Các cách phòng chống MITM Attack +Sử dụng mạng riêng ảo (VPN).

+Sử dụng các trang web sử dụng HTTPS.

+Cài đặt phần mềm diệt virus.

+Đăng xuất khỏi các ứng dụng không sử dụng nữa.

+Tránh việc sử dụng các Wifi công cộng, đặc biệt là các wifi không sử dụng mật khẩu, nếu trong tình thế buộc phải sử dụng, chỉ nên kết nối để dử dụng một cách thụ động, tránh sử dụng các giao dịch nhạy cảm.

4.3.4 TẤN CÔNG TỪ CHỐI DỊCH VỤ (DOS/DDOS ATTACK)

Tấn công từ chối dịch vụ (DoS) được thiết kế để làm cho tài nguyên mạng hoặc máy chủ không sẵn sàng để phục vụ cho người dùng, gây ảnh hưởng lớn tới hoạt động của doanh nghiệp và trải nghiệm của người dùng Mặc dù tấn công DoS có thể bị chặn nếu truy ra được địa chỉ IP của kẻ tấn công nhưng biến thể như tấn công từ chối dịch vụ phân tán(Distributed Denial of Service - DDoS), chúng sử dụng một lượng lớn máy tính để tấn công nên việc bảo vệ sẽ khó khăn hơn, chỉ có thể giảm thiểu thiệt hại do DDoS gây ra.

Hình 4.8 Cách thức hoạt động của DoS/DDoS Attack Cách phòng chống:

Hình 4.9 Các cách phòng chống Dos/DDoS Attack

+ Nếu có thể xác định được địa chỉ IP của máy tấn công (tấn công DoS) có thể tạo một ACL (danh sách quản lý truy cập) ở tường lửa để chặn những IP đó.

+Giám sát lưu lượng máy truy cập của hệ thống mạng, xác định sớm cuộc tấn công.+Mua thêm băng thông, thiết lập nhiều server hơn và dùng các giải pháp cân bằng tải tốt.+Thiết lập tính năng chống mạo danh IP trong tường lửa của hệ thống.

MÔ PHỎNG GIÁM SÁT HỆ THỐNG MẠNG

XÂY DỰNG HỆ THỐNG MẠNG

Xây dựng hệ thống mạng LAN cho hệ thống mạng doanh nghiệp nhỏ gồm:

+các server nội bộ phục vụ cho vận hành của hệ thống

+Web server, FTP serer, Mail server

+Có hệ thống giám sát

Hình 5.1 Hệ thống mạng doanh nghiệp nhỏ Thiết kế hạ tầng:

- Firewall chia hệ thống thành 3 vùng: Inside, Outside và DMZ

+Inside: kết nối vào khu vực nội bộ

+DMZ: vùng đặt các Public server

+Outside: kết nối ra ngoài Internet

- Các Server Web, FTP, Email đặt ở vùng DMZ

- Thiết kế cho vùng Inside:

+Các server nội bộ nằm ở vùng Internal server, các server này chỉ phục vụ cho các ứng dụng trong mạng nội bộ (Vùng Inside)

+Cần có CoreSwitch để làm switch trung tâm kết nối các thiết bị để định tuyến và chịu tải

Do máy yếu, nên một số mô hình thực nghiệm em xin được phép đơn giản hóa hệ thống mạng như gộp các server lại trên một server, giám sát 1 switch, 1 router đại diện cho các switch/router còn lại, để dễ dàng thực hiện việc giám sát, tấn công và an toàn cho hệ thống.

Kịch bản mô phỏng: giám sát switch, router, các server, máy tính trong hệ thống mạng,tiến hành tấn công hệ thống và đồng thời giám sát, sử dụng các biện pháp phòng chống, an toàn cho hệ thống.

TRIỂN KHAI DỊCH VỤ GIÁM SÁT

Lựa chọn phần mềm giám sát: Chọn phần mềm giám sát Nagios XI cho hệ thống vì nó có bản miễn phí và hỗ trợ cho việc thực nghiệm giám sát, có giao diện dễ sử dụng, có nhiều các lựa chọn plugin giám sát.

Mô hình giám sát rút gọn dựa trên hệ thống mạng gồm:

+Thiết bị bị giám sát: máy Server (192.168.30.130), Core Switch, Router GateWay

+Máy tấn công: Kali Linux (192.168.40.128) Ở trên máy giám sát, cài đặt và cấu hình phần mềm giám sát Nagios XI, sau đó cài giao thức giám sát trên các thiết bị bị giám sát để có thể thực hiện việc giám sát trên các thiết bị ấy.

Vào trang web https://www.nagios.com/downloads/nagios-xi/ để tải NagiosXI về, ở đây ta sẽ tải về bản cho VMware.

Hình 5.3 Trang web tải Nagios XI

Tải xong chỉ việc vào VMware và thêm file vừa tải để cài đặt trên máy ảo

Hình 5.4 File cài đặt Nagios XI dành cho VMware

Sau khi cài đặt xong, mở máy ảo Nagios XI đăng nhập vào với tk root, mk nagiosxi, r mở trình duyệt web nhập địa chỉ IP của máy Nagios XI là 192.168.30.132 để vào giao diện web của Nagios XI.

Hình 5.5 Giao diện web của Nagios XI

5.2.2 CÀI ĐẶT GIAO THỨC GIÁM SÁT CHO CÁC THIẾT BỊ

Hầu hết các thiết bị đều được cài đặt kèm SNMP, chỉ việc bật lên và cấu hình Ở máy Server bấm Windows + R gõ “services.msc” vào cấu hình SNMP cho máy (nếu chưa có SNMP sẵn, vào “add roles and features” để bật gói dịch vụ SNMP lên)

Hình 5.6 Dịch vụ SNMP trên hệ điều hành Windows Đặt tên SNMP là “public” và cấu hình địa chỉ IP của máy giám sát là 192.168.30.132 để bên máy giám sát có thể nhận thông tin dữ liệu do SNMP truyền tới để giám sát.

Hình 5.7 Cấu hình SNMP của hệ điều hành Windows Đối với các thiết bị như Router, Switch vào Console cấu hình

#(config) snmp-server community public RO

(bật SNMP lên với tên “public”, cho phép quyền “Read Only”)

#(config) snmp-server host 192.168.30.132 version 2c public udp-port 161

(cấu hình địa chỉ IP của máy giám sát, phiên bản và cổng UDP 161)

#show snmp host (kiểm tra)

Hình 5.8 Cấu hình SNMP của Switch/Router

5.2.3 TRIỂN KHAI GIÁM SÁT Ởgiao diện web của Nagios XI (Hình 5.5), bấm vào Configure để cấu hình, ở đây có 3 cách cấu hình giám sát đó là:

+Deploy Monitoring Agents and Configure: triển khai giám sát thông qua

NCPA (agent giám sát của Nagios XI phát hành), cần phải cài NCPA trên các thiết bị bị giám sát để nó gửi thông tin dữ liệu thu thập được về cho server Nagios XI trên giám sát.

+Auto-Discovery: tự động tìm kiếm những máy tính, thiết bị, dịch vụ có kết nối (ở trong cùng một mạng) để giám sát, đây là một tính năng khá hay và tiện ích của Nagios XI

Hình 5.9 Cấu hình giám sát bằng Auto-Discovery

Nhập địa chỉ dãy mạng vào để tìm kiếm những host đang bật trên dãy mạng đó và cấu hình những dịch vụ muốn giám sát trên host đó.

Hình 5.10 Các thông tin, dữ liệu đã được tìm kiếm bằng Auto-Discovery

Vào host status để xem kết quả

Hình 5.11 Trạng thái của máy Server

+ Configuration Wizzard: ở mục này ta có rất nhiều lựa chọn để giám sát (giám sát trực tiếp, giám sát tìm kiếm tự động, giám sát thông qua SNMP, giám sát thông qua NCPA, …) và có các danh mục riêng để dễ tìm kiếm lựa chọn liên quan tới hệ thống mà bạn muốn giám sát như các hệ điều hành (Linux, Windows, Other OS), thiết bị mạng, cơ sở dữ liệu, Email, Website, …

Hình 5.12 Các mục chọn để cấu hình giám sát tùy ý Ởtrên đã cài đặt SNMP cho các thiết bị bị giám sát nên ta sẽ lựa chọn giám sát thông qua giao thức SNMP. Để giám sát máy Server, bấm vào Windows SNMP trong Configure Wizzard và cấu hình địa chỉ IP là 192.168.30.130, hệ điều hành Windows Server 2012, SNMP version 2c, port mặc định là 161, tên của SNMP trên máy Server là public

Cấu hình những thông tin mà SNMP đã thu thập được trên máy Server và mức độ báo động để cảnh báo.

Hình 5.14 Các thông tin, dữ liệu đã được tìm kiếm bằng SNMP trên Server

Và cuối cùng là thiết lập chu kỳ giám sát cho hệ thống

Hình 5.15 Cài đặt chu kỳ giám sát Server

Còn với Router, Switch, do là những thiết bị không có hệ điều hành nên sẽ mặc định là dùng SNMP để giám sát, nhập địa chỉ IP (cổng vào của CoreSwitch, Router GateWay đối với máy giám sát), port mặc định của SNMP là 161, tên SNMP đã đặt là public.

Hình 5.16 Cấu hình giám sát Switch/Router Đợi một lúc để Nagios XI nhận thông tin dữ liệu từ SNMP đã thu thập từ Router, Switch, do xài bản miễn phí dùng thử nên bị giới hạn số lượng đối tượng bị giám sát nên chỉ bật các cổng đang hoạt động và 1,2 cổng không hoạt động để làm ví dụ.

Hình 5.17 Các thông tin, dữ liệu đã được tìm kiếm trên Core Switch

Hình 5.18 Các thông tin, dữ liệu đã được tìm kiếm trên Router

GateWay Và cuối cùng là cài đặt chu kỳ giám sát cho hệ thống

Hình 5.19 Cài đặt chu kỳ giám sát Switch/Router

Vào “Host Status” để giám sát trạng thái các thiết bị, vào “Service Status” để giám sát trạng thái các dịch vụ bên đã cấu hình để giám sát của thiết bị đó.

Hình 5.20 Trạng thái của Server, Core Switch, Router GateWay và các dịch vụ

AN TOÀN CHO HỆ THỐNG

Do máy yếu, RAM không đủ chạy cả GNS3 và 3 máy ảo cùng 1 lúc nên em xin phép thay đổi mô hình cho phù hợp để mô tả việc tấn công mạng và an toàn cho hệ thống.

Hình 5.21 Thông báo không đủ dung lượng RAM để chạy máy ảo thứ 4 Ởmô hình giám sát (hình 5.2) đã cấu hình thông từ mạng nội bộ ra mạng bên ngoài bằng kỹ thuật NAT

Sử dụng NAT để PC1 bên trong mạng kết nối ra mạng ngoài là PC2 và chuyển đổi địa chỉ

IP của PC1 thành 205.1.1.50 rồi dùng PC2 kết nối lại PC1.

Hình 5.22 Kết quả kết nối giữa PC1 và PC2 Cho nên em kết hợp mô hình giám sát với một số mô hình tấn công và an toàn mạng khác để thực nghiệm, em sẽ cho chúng cùng 1 mạng, coi như tất cả đều thông với nhau.

+Phù hợp cho việc tấn công vào hệ thống mạng là sử dụng hình thức tấn công DoS và tấn công DHCP spoofing.

+Với hình thức tấn công DoS, tấn công vào Server của hệ thống khiến Server không thể cung cấp dịch vụ hoặc khiến việc truy cập dịch vụ bị chậm, giám sát Server khi bị tấn công, triển khai bảo vệ, an toàn cho hệ thống trước tấn công DoS.

+Với hình thức tấn công DHCP spoofing, tấn công vào DHCP server khiến DHCP server không thể cung cấp địa chỉ IP và phát địa chỉ IP giả, triển khai bảo vệ, an toàn cho hệ thống trước tấn công DHCP spoofing.

5.3.1 TẤN CÔNG DOS VÀ CÁCH PHÒNG CHỐNG

Hình 5.23 Mô hình tấn công DoS +Máy giám sát: Nagios XI (192.168.30.132)

+Máy bị giám sát và bị tấn công: Windows Server (192.168.30.130)

Windows 10 (192.168.30.135) a Triển khai tấn công DoS

Tấn công DoS đúng với cái tên của nó là từ chối dịch vụ, làm cho khách hàng không thể kết nối sử dụng được các dịch vụ của hệ thống mạng doanh nghiệp, cho nên tấn công DoS rất là phổ biến và hay xảy ra với các doanh nghiệp.

Tấn công DoS chia ra làm nhiều loại như (Ping of Death, SYN Flood Attack, HTTP Flood, Smurf Attack, DDoS, …), sau đây là một số trường hợp tấn công DoS đơn giản mà những kẻ tấn công có thể dùng để thử mức độ an ninh của hệ thống trước khi thực hiện một cuộc tấn công lớn.

+ Ping of Death: tấn công làm quá tải hệ thống, gửi đến các máy chủ các gói tin

ICMP với kích thước trên 65000 bytes, do gói tin lớn vượt quá mức cho phép nên chúng sẽ chia thành từng phần nhỏ và gửi đến các máy chủ, và khi đến nơi các gói tin sẽ ghép trở lại thành gói tin lớn vượt quá khả năng xử lý của hệ thống gây ra tràn bộ nhớ đệm và khiến máy chủ bị lag hoặc thậm chí bị treo máy.

Trên máy tấn công, thực hiện lệnh ping với kích thước gói tin là 65000 bytes như sau

Hping3: tên của tool được dùng

192.168.30.130: địa chỉ máy bị tấn công (máy Windows Server)

-i: tốc độ cuộc tấn công (u10 = 10000 gói/second, u100 = 1000 gói/second)

Hình 5.24 Tấn công Ping of Death bằng Hping3

Sau khi gõ lệnh bên máy tấn công, qua máy bị tấn công bật task manager lên và thấy lưu lượng mạng tăng bất thường, mức độ làm việc của CPU luôn đạt trên 50%.

Hình 5.25 Trạng thái CPU Usage và Network của Windows Server Ởtrên máy giám sát cũng thông báo mức độ hoạt động của CPU là trên 80% và cảnh báo, dung lượng RAM (physical memory usage) cũng chiếm 77% cũng gần đạt mức cảnh báo.

Hình 5.26 Trạng thái khi bị tấn công của Windows Server trên Nagios XI

+SYN Flood Attack: tấn công sử dụng cờ SYN, tạo ra số lượng lớn các kết nối tới TCP, máy chủ sẽ trả lời lại với TCP SYN/ACK nhưng máy tấn công sẽ không trả lời để không hoàn thành tiến trình bắt tay 3 chiều, lúc này máy chủ sẽ tốn bộ nhớ và tài nguyên trong khi chờ các phiên TCP timeouts hoặc trước khi dọn dẹp các kết nối đang thiết lập dang dở. Ở máy tấn công, thực hiện lệnh

Hping3: tên của tool được dùng

192.168.30.130: địa chỉ máy bị tấn công (máy Windows Server)

-a: giả mạo địa chỉ IP khác (giả mạo IP 192.168.30.135 của máy Windows 10) -1: chọn ICMP mode

-i: tốc độ cuộc tấn công (u10 = 10000 gói/second, u100 = 1000 gói/second)

Hình 5.27 Tấn công SYN Flood bằng Hping3

Sang máy Windows Server bật cmd gõ netstat lên ta thấy các cổng sử dụng TCP đều được bật, có cái sẽ hoàn thành (Established), có cái vẫn đang chờ bên máy tấn công trả lời (Time_Wait), và dĩ nhiên điều này cũng sẽ làm CPU hoạt động với mức độ khác thường.

Hình 5.28 Trạng thái CPU Usage và các cổng TCP của Windows Server b Cách phòng chống và an toàn trước tấn công DoS

Với tấn công DoS ta chỉ có thể phòng tránh trở thành nạn nhân của DDoS, giảm bớt thiệt hại chứ không thể ngăn chặn hoàn toàn việc tấn công DoS/DDoS.

Có thể thực hiện các cách sau để phòng chống tấn công DoS/DDoS:

+Định tuyến lỗ đen: cần tạo một tuyến đường lỗ đen để chuyển các lưu lượng truy cập lớn vào website sang lỗ đen để tránh tình trạng quá tải cho hệ thống.

+Sử dụng các dịch vụ phòng chống DoS như CloudFlare, WAF, Vietnix Firewall,

…những phần mềm ấy có các rules phát hiện những kết nối vi phạm để chặn các kết nối đó.

+Mua thêm băng thông, thiết lập nhiều server dự phòng để tăng lưu lượng truy cập cũng như bảo đảm tính sẵn sàng cho việc cung cấp dịch vụ không bị trì trệ, khi server này bị tấn công hoặc hỏng sẽ có server khác làm việc thay. Đối với các doanh nghiệp nhỏ có thể thực hiện cách ít tốn chi phí hơn, cài đặt phần mềm D-Guard Anti-DDoS, phần mềm này có thể phát hiện địa chỉ IP tấn công và chặn lại, giới hạn lưu lượng truy cập tránh làm server quá tải và bị treo.

Ngày đăng: 11/12/2023, 08:46

HÌNH ẢNH LIÊN QUAN

Hình 2.1. Mô hình giao thức SNMP - Đồ án tìm hiểu, triển khai một số dịch vụ giám sát mạng và an toàn mạng
Hình 2.1. Mô hình giao thức SNMP (Trang 12)
Hình 2.3. Mô hình giao thức hoạt động của SNMP - Đồ án tìm hiểu, triển khai một số dịch vụ giám sát mạng và an toàn mạng
Hình 2.3. Mô hình giao thức hoạt động của SNMP (Trang 14)
Hình 2.4. Mô hình giao thức NetFlow - Đồ án tìm hiểu, triển khai một số dịch vụ giám sát mạng và an toàn mạng
Hình 2.4. Mô hình giao thức NetFlow (Trang 18)
Hình 2.5. Mô hình giao thức hoạt động của NetFlow - Đồ án tìm hiểu, triển khai một số dịch vụ giám sát mạng và an toàn mạng
Hình 2.5. Mô hình giao thức hoạt động của NetFlow (Trang 19)
Hình 3.3. Cấu trúc của Nagios - Web browser: - Đồ án tìm hiểu, triển khai một số dịch vụ giám sát mạng và an toàn mạng
Hình 3.3. Cấu trúc của Nagios - Web browser: (Trang 26)
Hình 3.4. Các cách thức thực hiện giám sát của Nagios - Đồ án tìm hiểu, triển khai một số dịch vụ giám sát mạng và an toàn mạng
Hình 3.4. Các cách thức thực hiện giám sát của Nagios (Trang 28)
Hình 3.5. Các phiên bản của PRTG - Đồ án tìm hiểu, triển khai một số dịch vụ giám sát mạng và an toàn mạng
Hình 3.5. Các phiên bản của PRTG (Trang 30)
Hình 3.7. Cấu trúc của PRTG - Đồ án tìm hiểu, triển khai một số dịch vụ giám sát mạng và an toàn mạng
Hình 3.7. Cấu trúc của PRTG (Trang 33)
Hình 3.8. Các thành phần và liên kết của Icinga Gồm 3 thành phần chính gồm: - Đồ án tìm hiểu, triển khai một số dịch vụ giám sát mạng và an toàn mạng
Hình 3.8. Các thành phần và liên kết của Icinga Gồm 3 thành phần chính gồm: (Trang 36)
Hình 3.9. Các cách thức thực hiện giám sát của Icinga - Đồ án tìm hiểu, triển khai một số dịch vụ giám sát mạng và an toàn mạng
Hình 3.9. Các cách thức thực hiện giám sát của Icinga (Trang 37)
Hình 4.2. Các loại Malware Attack Cách phòng chống: - Đồ án tìm hiểu, triển khai một số dịch vụ giám sát mạng và an toàn mạng
Hình 4.2. Các loại Malware Attack Cách phòng chống: (Trang 41)
Hình 4.4. Cách thức hoạt động của Phising Attack - Đồ án tìm hiểu, triển khai một số dịch vụ giám sát mạng và an toàn mạng
Hình 4.4. Cách thức hoạt động của Phising Attack (Trang 42)
Hình 4.5. Các cách phòng chống Phising Attack - Đồ án tìm hiểu, triển khai một số dịch vụ giám sát mạng và an toàn mạng
Hình 4.5. Các cách phòng chống Phising Attack (Trang 43)
Hình 4.7. Các cách phòng chống MITM Attack + Sử dụng mạng riêng ảo (VPN). - Đồ án tìm hiểu, triển khai một số dịch vụ giám sát mạng và an toàn mạng
Hình 4.7. Các cách phòng chống MITM Attack + Sử dụng mạng riêng ảo (VPN) (Trang 44)
Hình 4.8. Cách thức hoạt động của DoS/DDoS Attack Cách phòng chống: - Đồ án tìm hiểu, triển khai một số dịch vụ giám sát mạng và an toàn mạng
Hình 4.8. Cách thức hoạt động của DoS/DDoS Attack Cách phòng chống: (Trang 45)
Hình 4.9. Các cách phòng chống Dos/DDoS Attack - Đồ án tìm hiểu, triển khai một số dịch vụ giám sát mạng và an toàn mạng
Hình 4.9. Các cách phòng chống Dos/DDoS Attack (Trang 45)
Hình 5.5. Giao diện web của Nagios XI - Đồ án tìm hiểu, triển khai một số dịch vụ giám sát mạng và an toàn mạng
Hình 5.5. Giao diện web của Nagios XI (Trang 49)
Hình 5.6. Dịch vụ SNMP trên hệ điều hành Windows - Đồ án tìm hiểu, triển khai một số dịch vụ giám sát mạng và an toàn mạng
Hình 5.6. Dịch vụ SNMP trên hệ điều hành Windows (Trang 50)
Hình 5.12. Các mục chọn để cấu hình giám sát tùy ý - Đồ án tìm hiểu, triển khai một số dịch vụ giám sát mạng và an toàn mạng
Hình 5.12. Các mục chọn để cấu hình giám sát tùy ý (Trang 53)
Hình 5.14. Các thông tin, dữ liệu đã được tìm kiếm bằng SNMP trên Server - Đồ án tìm hiểu, triển khai một số dịch vụ giám sát mạng và an toàn mạng
Hình 5.14. Các thông tin, dữ liệu đã được tìm kiếm bằng SNMP trên Server (Trang 54)
Hình 5.20. Trạng thái của Server, Core Switch, Router GateWay và các dịch vụ - Đồ án tìm hiểu, triển khai một số dịch vụ giám sát mạng và an toàn mạng
Hình 5.20. Trạng thái của Server, Core Switch, Router GateWay và các dịch vụ (Trang 57)
Hình 5.21. Thông báo không đủ dung lượng RAM để chạy máy ảo thứ 4 - Đồ án tìm hiểu, triển khai một số dịch vụ giám sát mạng và an toàn mạng
Hình 5.21. Thông báo không đủ dung lượng RAM để chạy máy ảo thứ 4 (Trang 58)

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w