phát triển hệ thống giám sát mạng dựa trên phần mềm mã nguồn mở observium

Bên cạnh đó, nhóm xin chân thành cảm ơn sự hướng dẫn tận tình của thầyPhạm Văn Hưởng đã giúp nhóm hoàn thiện bài báo cáo.Nhóm báo cáoLỜI MỞ ĐẦUNgày nay, hệ thống giám sát đóng một vai tr

BAN CƠ YẾU CHÍNH PHỦ

MỤC LỤC

DANH MỤC HÌNH ẢNH 4

LỜI CẢM ƠN 4

LỜI MỞ ĐẦU 4

CHƯƠNG 1: 6

TỔNG QUAN VỀ GIÁM SÁT MẠNG 6

CHƯƠNG 2: 20

CƠ BẢN VỀ GIAO THỨC SNMP 20

CHƯƠNG 3: 27

PHÁT TRIỂN HỆ THỐNG GIÁM SÁT MẠNG DỰA TRÊN 27

OBSERVIUM 27

CHƯƠNG 4: 31

THỰC NGHIỆM 31

KẾT LUẬN 38

TÀI LIỆU THAM KHẢO 39

DANH MỤC HÌNH ẢNH

LỜI CẢM ƠN 4

LỜI MỞ ĐẦU 4

CHƯƠNG 1: 6

TỔNG QUAN VỀ GIÁM SÁT MẠNG 6

CHƯƠNG 2: 20

CƠ BẢN VỀ GIAO THỨC SNMP 20

CHƯƠNG 3: 27

PHÁT TRIỂN HỆ THỐNG GIÁM SÁT MẠNG DỰA TRÊN 27

OBSERVIUM 27

CHƯƠNG 4: 31

THỰC NGHIỆM 31

KẾT LUẬN 38

TÀI LIỆU THAM KHẢO 39

LỜI CẢM ƠN

Nhìn chung các công việc của bài, nhóm cơ bản đã hoàn thành Tuy nhiênbài làm sẽ sẽ vẫn còn các thiếu sót, vì quá trình làm hầu hết các kiến thức trongbài là tự học và tự tìm hiểu Chính vì vậy, nhóm mong muốn được được cácThầy cô và các bạn đưa ra những ý kiến để khắc phục và sửa chữa để bài làmcủa nhóm được hoàn thiện hơn Ngoài những kiến thức về chuyên môn, nhómchúng em cũng cần cải thiện thêm về các kỹ năng mềm khác như giao tiếp, làmviệc theo nhóm, khả năng thuyết trình … Bởi vì đây là môn học quan trọng giúpsinh viên chúng em tổng hợp được kiến thức của nhiều môn học và áp dụng vàoứng dụng thực tế, giúp ích cho quá trình học tập chuyên ngành về sau và làmviệc thật sự sau khi tốt nghiệp

Trong quá trình thực hiện bài thực tập, nhóm chúng em xin chân thànhcảm ơn tới khoa Công nghệ thông tin và các thầy cô đã cung cấp kiến thức giúpnhóm chúng em qua các môn học Đó là nền tảng giúp nhóm có một kiến thứcvứng chắc và tinh thần học tập tốt để thực hiện bài luận nhanh chóng và hiệuquả Bên cạnh đó, nhóm xin chân thành cảm ơn sự hướng dẫn tận tình của thầyPhạm Văn Hưởng đã giúp nhóm hoàn thiện bài báo cáo

Nhóm báo cáo

LỜI MỞ ĐẦU

Ngày nay, hệ thống giám sát đóng một vai trò quan trọng giúp theo dõi,kiểm tra hệ thống, cung cấp thông tin và đưa ra cảnh báo khi có vấn đề xảy ravới các thành phần trong hạ tầng, ứng dụng công nghệ thông tin của tổ chức.Một hệ thống giám sát tốt cần có khả năng phát hiện nhanh chóng và chính xácnhững sự cố xảy ra và kịp thời gửi thông báo qua nhiều phương tiện như mànhình, email, tin nhắn tới người quản trị hệ thống Luận văn “Xây dựng hệ thốnggiám sát mang dựa trên phần mềm mã nguồn mở Observium” với mục đích là

tìm hiểu về giao thức quản lý mạng, xây dựng hệ thống giám sát mạng trên cơ

sở đưa ra giải pháp giám sát mạng dựa trên mã nguồn mở Observium

Báo cáo gồm có 4 chương:

o Chương 1: Tổng quan về giám sát mạng

o Chương 2: Cơ bản về giao thức SNMP

o Chương 3: Phát triển hệ thống giám sát mạng dựa trên phần mềm

mã nguồn mở Observium

o Chương 4: Thực nghiệm

CHƯƠNG 1:

TỔNG QUAN VỀ GIÁM SÁT MẠNG

1.1 Một số khái niệm cơ bản

- Giám sát an ninh mạng (Network Security Mornitoring – NSM)Giám sát an ninh mạng là việc thu thập các thông tin trên các thành phần của

hệ thống, phân tích các thông tin, dấu hiệu nhằm đánh giá và đưa ra các cảnhbáo cho người quản trị hệ thống

Đối tượng của giám sát an ninh mạng là tất cả các thành phần, thiết bị trong

• Các thiết bị hạ tầng mạng: Router, switch, Hub…

• Các thiết bị, hệ thống phát hiện và phòng chống xâm nhập: IDS/IPS,Snort, FireWall…

• Các ứng dụng chạy trên các máy chủ và máy trạm

- Log hệ thống

Là một thành phần quan trọng của hệ thống mạng Nó lưu lại một cáchchính xác mọi hoạt động của hệ thống, tình trạng hoạt động của hệthống, các ứng dụng, các thiết bị đã và đang hoạt động trong hệ thống

Các loại log chính trong hệ thống:

• Log Access: Là log ghi lại toàn bộ thông tin truy cập của người dùngtới hệ thống, truy cập của các ứng dụng tới cơ sở dữ liệu…

• Log Event: là log ghi lại chi tiết những sự kiện mà hệ thống đã thựchiện Log ứng dụng, log của hệ điều hành…

• Log Device: là log ghi lại tình trạng hoạt động của các thiết bị phầncứng và phần mềm đang được sử dụng: Router, Switch, IDS, IPS…

Log là một thành phần cực kỳ hữu hiệu cho việc giám sát cũng như khắc phục các sự cố trong hệ thống mạng Tuy nhiên, với những hệ thống lớn, chạy nhiều ứng dụng, lượng truy cập cao thì công việc phân tích Log thực sự là một điều vô cùng khó khăn.

1.2 Các yếu tố cơ bản trong hệ thống giám sát mạng

Để công tác giám sát an toàn mạng đạt hiệu quả cần phải xác địnhđược các yếu tố cốt lõi, cơ bản nhất của giám sát như:

• Xác định các đơn vị, hệ thống, thiết bị, dịch vụ cần giám sát

• Xác định trang thiết bị, giải pháp phần mềm thương mại phục vụgiám sát

• Xác định phần mềm nội bộ và phần mềm nguồn mở phục vụ giámsát

• Xác định các thiết bị, công cụ, giải pháp hỗ trợ phân tích kết quảgiám sát: công cụ NMAP, TCPDUMP, Wireshark, Nessus

Ngoài các trang thiết bị, công cụ, giải pháp hỗ trợ thì yếu tố con người

và đặc biệt là quy trình phục vụ giám sát là vô cùng quan trọng

• Các thiết bị, hệ thống phát hiện và phòng chống xâm nhập:IDS/IPS, Snort, FireWall…

• Các ứng dụng chạy trên các máy chủ và máy trạm

Hình 1 - Các thành ph n trong h th ng m ng ầ ệ ố ạ

1.4 Lợi ích của một hệ thống giám sát mạng an toàn

Hệ thống giám sát an toàn mạng viết tắt là SIEM (Security informationand event management – SIEM) là hệ thống được thiết kế nhằm thu thậpthông tin nhật ký các sự kiện an ninh từ các thiết bị đầu cuối và lưu trữ dữ liệumột cách tập trung Theo đó, các sản phẩm SIEM cho phép phân tích tậptrung và báo cáo về các sự kiện an toàn mạng của tổ chức Kết quả phân tíchnày có thể được dùng để phát hiện raa các cuộc tấn công mà không thể pháthiện được theo phương pháp thông thường Một số sản phẩm SIEM còn cókhả năng ngăn chặn các cuộc tấn công mà chúng phát hiện được

Sản phẩm SIEM đã xuất hiện nhiều năm nay, nhưng tiền thân của sảnphẩm này nhắm đến các tổ chức lớn với khả năng và đội ngũ phân tích anninh chuyên biệt SIEM đang dần trở nên nổi bật, phù hợp cả với nhu cầu của

các tổ chức vừa và nhỏ Kiến trúc SIEM ngày nay bao gồm phầm mềm SIEMcài đặt trên một máy chủ cục bộ, một phần cứng cục bộ hoặc một thiết bị ảodành riêng cho SIEM, kèm theo đó là một dịch vụ đám mây SIEM.

Các tổ chức khác nhau sử dụng hệ thống SIEM với mục đích khácnhau, do đó lợi ích thu được cũng khác nhau Bài viết sẽ làm rõ ba lợi ít lớnnhất của SIEM:

ký (log) này về máy chủ SIEM Một máy chủ SIEM nhận dữ liệu nhật ký từrất nhiều thiết bị khác nhau và sau đó sẽ thực hiện thống kê, phân tích, báocáo để tạo ra một báo cáo duy nhất cho thấy sự tương quan giữa các sự kiện

an ninh của các thiết bị

Hình 1 - Mô hình quản lý tập trung.

Một tổ chức không có các hệ thống tập trung dữ liệu nhật ký sẽ cần rấtnhiều công sức trong việc tập hợp báo cáo Trong môi trường như vậy, cầnphải tạo ra báo cáo riêng về tình trạng hoạt động cho mỗi thiết bị đầu cuối,hoặc lấy dữ liệu định kì bằng cách thủ công từ mỗi thiết bị rồi tập hợp chúnglại và phân tích để thành một báo cáo Khó khăn xảy ra là không nhỏ do sựkhác biệt hệ điều hành, ứng dụng và các phần mềm khác nhau dẫn đến cácnhật ký sự kiện an ninh được ghi lại khác nhau Chuyển đổi tất cả thông tin đóthành một định dang chung đòi hỏi việc phát triển hoặc tùy biến mã nguồnrất lớn.

Một lí do khác cho thấy tại sao SIEM rất hữu ích trong việc quản lý và báocáo tập trung là việc hỗ trợ sẵn các mẫu báo cáo phù hợp với các chuẩn quốc

tế như Health Insurance Portability and Accountability Act (HIPAA),Payment Card Industry Data Security Standard (PCI DSS) và Sarbanes-OxleyAct (SOX) Nhờ SIEM, một tổ chức có thể tiết kiệm đáng kể thời gian, nguồnlực để đạt được đủ các yều cầu về báo cáo an ninh định kỳ

1.4.2 Giám sát an toàn mạng

Lí do chính cho việc triển khai SIEM là hệ thống này có thể phát hiện racác sự cố mà các thiết bị thông thường không phát hiện được Thứ nhất, rấtnhiều thiết bị đầu cuối có phần mềm ghi lại sự kiện an ninh nhưng không tíchhợp khả năng phát hiện sự cố Dù có thể quan sát các sự kiện và tạo ra cácnhật ký, chúng luôn thiếu khả năng phân tích để xác định các dấu hiệu củahành vi độc hại

Lý do thứ hai nâng cao khả năng phát hiện của SIEM là chúng có thểcho thấy sự tương quan sự kiện giữa các thiết bị Bằng cách thu thập sự kiệncủa toàn tổ chức, SIEM có thể thấy được nhiều phần khác nhau của các cuộctấn công thông qua nhiều thiết bị và sau đó tái cấu trúc lại chuỗi sự kiện vàxác định cuộc tấn công ban đầu là gì và nó đã thành công hay chưa Nói theocách khác, trong khi một giải pháp ngăn chặn xâm nhập IPS có thể thấy đượcmột phần của một cuộc tấn công và hệ điều hành của máy chủ mục tiêu cũng

cho thấy được một phần khác của cuộc tấn công đó, một SIEM có thể kiểmtra dữ liệu nhật ký của tất cả sự kiện này và xác định máy chủ mục tiêu đó đã

bị nhiễm mã độc, hay tấn công thành công hay chưa, từ đó có thể thực hiệncách li chúng ra một mạng riêng và xử lí cuộc tấn công

Cần hiểu rằng SIEM không thay thế các sản phẩm kiểm soát an ninh phát hiệntấn công như hệ thống ngăn chặn xâm nhập IPS, công nghệ tường lửa và phầnmềm diệt virus Một SIEM độc lập không có tác dụng gì ngoài theo dõi các sựkiện an ninh đang diễn ra SIEM được thiết kế để sử dụng các dữ liệu nhật kýđược ghi lại bởi các phần mềm khác nhau từ đó phân tích tương quan và đưa

ra các cảnh báo

Ngoài ra, rất nhiều sản phẩm SIEM có khả năng ngăn chặn các cuộc tấn công

mà chúng phát hiện khi các cuộc tấn công đang diễn ra SIEM không tự mìnhtrực tiếp ngăn chặn các cuộc tấn công, thay vào đó nó kết nối vào hệ thống anninh khác của doanh nghiệp như tường lửa và chuyển chúng đến phần cấuhình để ngăn chặn hành vi độc hại Điều này cho phép SIEM ngăn chặn cáccuộc tấn công không nhận biết được bởi các thành phần an ninh khác củadoanh nghiệp

Để có những bước tiến xa hơn, một tổ chức cần tìm kiếm và thu thập cácIEM (các thông tin về các mối nguy hại, hình thức tấn công…) từ các nguồnbên ngoài đáng tin cậy Nếu SIEM phát hiện bất cứ hành vi độc hại nào đãbiết liên quan đến thiết bị đầu cuối, nó sẽ phản ứng ngăn chặn các kết nốihoặc làm gián đoạn, cách ly thiết bị đang tương tác với thiết bị khác nhằmngăn ngừa cuộc tấn công từ điểm đầu tiên

1.4.3 Cải thiện hoạt động xử lý sự cố hiệu quả

Một lợi ích khác của các sản phẩm SIEM là gia tăng đáng kể hiệu quảviệc xử lý sự cố, tiết kiệm đáng kể thời gian và nguồn lực đối cho các nhânviên xử lý sự cố SIEM cải thiện điều này bằng cách cung một một giao diệnđơn giản để xem xét tất cả dữ liệu nhật ký an ninh từ nhiều thiết bị đầu cuối

Ví dụ:

• Cho phép nhân viên xử lý sự cố nhanh chóng phát hiện một mũi củacuộc tấn công vào doanh nghiệp.

• Cho phép xác định nhanh chóng tất cả thiết bị đầu cuối bị ảnhhưởng bởi cuộc tấn công

• Cung cấp cơ chế tự động nhằm ngăn chặn các cuộc tấn công đangdiễn ra và cách ly các thiết bị đầu cuối đã bị xâm hại

Lợi ích của các sản phẩm SIEM khiến chúng trở nên cần thiết hơn baogiờ hết, đặc biệt đối với các cơ quan nhà nước, ngân hàng, các doanh nghiệptài chính, các tập đoàn công nghệ…

Sản phẩm SIEM cho phép tổ chức có được bức tranh toàn cảnh về các

sự kiện an ninh xảy ra Bằng cách tập hợp các dữ liệu nhật ký an ninh từ cáctrạm kiểm soát an ninh, hệ điều hành của thiết bị đầu cuối, ứng dụng và cácphần mềm khác, SIEM có thể phân tích một lượng lớn dữ liệu nhằm xác địnhcác cuộc tấn công và xâm hại ẩn dấu đằng sau các dữ liệu này

1.5 Thu thập dữ liệu cho hệ thống NSM

• Thu thập dữ liệu (Collection):

- Việc thu thập dữ liệu ở đây chính là việc lấy các thông tin liên quanđến tình trạng hoạt động của các thiết bị trong hệ thống mạng Tuynhiên, trong những hệ thống mạng lớn thì các dịch vụ hay các thiết bịkhông đặt tại trên máy, một địa điểm mà nằm trên các máy chủ, các hệthống con riêng biệt nhau Các thành phần hệ thống cũng hoạt độngtrên những nền tảng hoàn toàn khác nhau Mô hình Log tập trung đượcđưa ra để giải quyết vấn đề này Cụ thể, là tất cả Log sẽ được chuyển vềmột trung tâm để phân tích và xử lý

- Với mỗi thiết bị có những đặc điểm riêng và các loại log cũng khácnhau Như log của các thiết bị mạng như: Router, Swich Log của cácthiết bị phát hiện xâm nhập: IDS, IPS, Snort … Log của các WebServer, Application Server, Log Event, Log Registry của các ServerWindows, Unix/Linux

• Cách thức thu thập dữ liệu trong hệ thống NSM.

- The Push Method (Phương pháp đẩy): Các sự kiện từ các thiết bị,Các máy trạm, Server sẽ được tự động chuyển về các Collector theothời gian thực hoặc sau mỗi khoảng thời gian phụ thuộc vào việc cấuhình trên các thiết bị tương ứng Các Collector của Log Server sẽ thựchiện việc nghe và nhận các sự kiện khi chúng xảy ra Ví dụ như:NetFlow, Syslog-ng Message(Syslog-ng gồm 2 thành phần là Syslog-Agent và Syslog-Server), Access-list (ACL) logs …

Hình 1 - Hệ thống NSM.

- Phương pháp đẩyThe Pull Method (Phương pháp kéo): CácCollector thu tập các sự kiện được phát sinh và lưu trữ trên chính cácthiết bị và sẽ được lấy về bởi các bộ Collector Hai giao thức phổ biến

để thu thập được các sự kiện là Security Device Event Exchange(SDEE – Gồm các thiết bị nằm trong hệ thống các thiết bị phát hiệnxâm nhập được phát triển bởi ICSA) và SNMP (Simple NetworkManagement Protocol – Giao thức hỗ trợ việc quản lý các thiết bị từxa)

1.6 Một số phần mềm giám sát hệ thống mạng, an toàn mạng

1.6.1 Observium

1.6.2 Cacti

Hình 1 - Cacti.

Đây là chương trình giám sát hiệu năng hệ thống rất chuyên sâu,đưa ra đồ thị giám sát, giúp bạn theo dõi mọi thứ qua biểu đồ Từ ổcứng vận hành, tốc độ quạt cho đến điện năng, Cacti có thể theo dõi tất

cả theo thời gian thực

1.6.3 Nagios

Hình 1 - Nagios.

Đây là công cụ giám sát hệ thống và mạng khá lâu đời Nó chạynhanh, ổn định và rất nhiều tuỳ biến Nagios có thể là thách thức đốivới các công cụ mới Có thể thế mạnh của nó là nhiều tính năng chuyênsâu, phức tạp nên nó có thể giám sát được mọi yếu tố Có thể điểm yếuduy nhất của nó chính là giao diện.

1 rất dễ dàng

1.6.5 Nedi

Hình 1 - Nedi.

NeDi có thể chưa được nhiều người biết đến nhưng nó thực sự làgiải pháp rất tốt để theo dõi các thiết bị qua mạng Nó liên tục dò mọi thứtrên mạng, theo dõi mọi thứ nó phát hiện được Nó có thể cung cấp vị tríhiện thời của bất kỳ thiết bị nào cũng như ghi lại mọi lịch sử của thiết bịđó

NeDi có thể dùng để định vị thiết bị bị mất cắp hoặc thất lạc bằngcách cảnh báo bạn nếu nó thấy thiết bị đó xuất hiện lại trên mạng Thậmchí nó có thể hiển thị mọi kết nối mà nó phát hiện được trên bản đồ, hiểnthị mọi đa liên kết trên mạng, thậm chí báo cáo ở mức cổng kết nối

1.6.6 Zabbix

Hình 1 - Zabbix.

Công cụ này giám sát máy chủ và mạng bằng rất nhiều công cụ Cónhững agent Zabbix cho nhiều hệ điều hành khác nhau, hoặc bạn có thểchọn sử dụng cách kiểm tra thụ động, gồm SNMP để giám sát host và cácthiết bị mạng Bạn cũng có thể tìm được nhiều công cụ cảnh báo và thôngbáo Giao diện Web có thể tuỳ biến giúp bạn dễ theo dõi những thànhphần mà mình quan tâm nhất Ngoài ra, Zabbix có các công cụ đặc biệt đểgiám sát các ứng dụng web và các hypervisor ảo hoá

Zabbix cũng có thể vẽ ra các biểu đồ đa liên kết logic, liệt kê chitiết các đối tượng được giám sát Những biểu đồ như vậy cũng có thể tuỳbiết và tạo thành nhóm các thiết bị được giám sát

1.6.7 Ntop

Hình 1 - Ntop.

Đây là công cụ lần theo dấu packet dữ liệu qua giao diện Web gọn gẽ,hiển thị dữ liệu thời gian thực trên mạng Dữ liệu tức thời đang luân chuyển trênmạng được hiển thị dạng đồ thị chi tiết Thông tin dữ liệu host và giao tiếp củahost cũng được hiển thị theo thời gian thực