Quản lí vận hành mạng Vinaren tại Vnnoc
QUẢN LÝ VẬN HÀNH MẠNG VINAREN TẠI VNNOC Nguyễn Tuấn Hải (1) , Phó Đức Anh (2) Trung tâm Thông tin Khoa học và Công nghệ Quốc gia (1) haint@vinaren.vn; (2) ducanh@vinaren.vn VinaREN là mạng viễn thông dùng riêng, có kết nối quốc tế qua đường truyền cáp quang từ Hà Nội (VNNOC) tới POP Hong Kong, Hiện nay VinaREN có 06 Trung tâm vận hành mạng (còn được gọi là NOC) đặt tại Hà Nội, Thái Nguyên, Huế, Đà Nẵng, Tp.Hồ Chí Minh và Cần thơ. Tại Hà Nội có NOC-HN – kiêm chức năng NOC quốc gia còn gọi là VNNOC. VNNOC có 01 đường kết nối quốc tế TEIN2 qua POP Hong Kong bằng đường cáp quang dung lượng 45 Mbps, hiện nay đang test đường 155 Mbps để sang tháng 4/2009 sẽ đưa vào khai thác. 01 đường kết nối Internet thương mại 40 Mbps qua nhà cung cấp VDC, đây là đường để kết nối tới một số cơ sở dữ liệu khai thác qua đường Internet mà Trung tâm mua của nước ngoài. Các cơ sở dữ liệu này sẽ được đưa lên khai thác trực tuyến qua các dịch vụ của mạng VinaREN. 01 đường trục backbone 155 Mbsp kết nối tới NOC-HCM và 01 đường 45 Mbps kết nối tới NOC-ĐN, cùng với trên 20 đường kết nối của các thành viên mạng VinaREN kết nối tới. Cùng với các máy chủ dịch vụ mạng như: máy chủ DNS, Web, Mail, Proxy … Do đó VNNOC cũng đã được trang bị một số phần mềm và phần cứng để quản lý, theo dõi và bảo vệ cho sự hoạt động của hệ thống mạng không chỉ tại VNNOC mà trên toàn hệ thống mạng. I. Quản lý phần mềm giám sát tình trạng hệ thống mạng 1. Quản lý Phần mềm quản trị mạng lan (LMS – Lan Management Solution) : Chương trình này cho phép người quản trị có thể quản trị được các thiết bị của Cisco. a. Giám sát đường truyền trong hệ thống mạng - Các router và Switch có mầu xanh nghĩa là đường truyền tới đó tốt - Còn mầu đỏ là đường truyền tới đó bị đứt hoặc thiết bị hỏng trong trường hợp này để xác định được do đường truyền hay thiết bị thì trước tiên liên hệ với nơi đặt thiết bị để loại trừ dần khả năng. b. Hiển thị hình ảnh thiết bị hiện tại Sẽ hiển thị được tất cả các thiết bị của Cisco đã được đưa vào danh sách thiết bị mà phần mềm này quản lý. Chỉ cần nhấp chuột phải vào các Modul, các cổng trên thiết bị chúng ta cũng có thể xem được cấu hình, hiện trạng, thời gian thay đổi cuối cùng của Modul hay cổng đó. c. Xem các cảnh báo đối với các thiết bị Phần này cho biết danh sách thiết bị xảy ra lỗi như thiết bị có một cổng kết nối dùng quá công suất đường truyền, đứt kết nối, có modul hỏng, hay phần cứng bị hỏng v.v . và thời gian suất hiện lỗi. d. Xem tình trạng của từng thiết bị (phần cứng) Hiển thị được tình trạng hiện tại của thiết bị mạng đang hoạt động như nguồn, quạt, hệ điều hành, bộ nhớ … 2. Quản lý phần mềm Quản lý hiệu năng (PVM - Performance Visibility Manager) Phần mềm này thu thập dữ liệu từ Modul NAM (Network Analysis Modules) của các Router trong hệ thống mạng. a. Hiển thị 10 Host sử dụng băng thông lớn nhất, 10 ứng dụng sử dụng nhiều nhất theo thời gian nhiều nhất là 7 ngày theo dạng đồ thị. b. Liệt kê danh sách các dịch vụ mạng được sử dụng Các địa chỉ (host) đang sử dụng dịch vụ đó Ghi lại thời gian địa chỉ (host) sử dụng dung lượng đường truyền cho dịch vụ đó. Hiển thị thời gian thực địa chỉ (host) đang sử dụng dung lượng đường truyền cho dịch vụ đó. c. Lập các báo cáo tình hình khai thác mạng (download và upload dữ liệu) theo thời gian - Thông qua các cổng giao tiếp (quang, đồng, Fast Ethernet…) thông tin có thể lưu trữ được tùy thuộc vào dung lượng của ổ cứng. - Thông qua địa chỉ mạng II. Quản lý phần mềm giám sát an ninh mạng 1. Quản lý hệ thống giám sát lưu lượng mạng (NAM - Network Analysis Module) Hệ thống giám sát lưu lượng mạng được triển khai sử dụng tại VNNOC là sử dụng module NAM (Network Analysis Module) của Cisco, đây là giải pháp giám sát lưu lượng hữu hiệu cho serie router Cisco 7600 đang được sử dụng làm core Router trong hệ thống mạng VinaREN. Cisco NAM kết hợp một lượng dữ liệu lớn với khả năng phân tích mạnh mẽ, khả năng truy cập từ xa, quản lý bằng giao diện web … trên một phiến duy nhất. Trình phân tích lưu lượng bằng giao diện web (Web-based Traffic Analyzer) cho phép truy cập nhanh tới các menu cấu hình và hiển thị các báo cáo về dữ liệu, thoại, video … một cách trực quan, dễ đọc, qua đó giúp cho cán bộ vận hành quản lý tại VNNOC có thể dễ dàng theo dõi được tình trạng lưu lượng mạng sử dụng tại các đơn vị thành viên. NAM cho phép giám sát lưu lượng theo ứng dụng, voice, host, VLAN, thời gian đáp ứng … Ta có thể quan sát dưới dạng thông số hoặc dưới dạng biểu đồ. Thông số có thể là giá trị tức thời (theo giây) hoặc giá trị tích lũy. Ở đây, mục Mục Overview cho phép xem nhanh lưu lượng theo giao thức, host, ứng dụng dưới dạng đồ họa. Ngoài ra, NAM còn cung cấp khả năng bắt gói tin để qua đó giải mã, lọc và hiển thị gói tin. Chức năng này sẽ giúp nhiều cho cán bộ vận hành mạng ở VNNOC trong quá trình phân tích, tìm hiểu sự cố xảy ra trong mạng Bên cạnh đó, hệ thống này còn có chức năng tạo báo cáo với những tham số theo tuỳ chọn của từng loại báo cáo và còn có chức năng tạo cảnh báo cho người quản trị khi lưu lượng trên hệ thống mạng vượt quá ngưỡng cho phép. 2. Quản lý hệ thống Cisco Security MARS Cisco Security MARS là một hệ thống giảm đe doạ bảo mật trên mạng. CS-MARS thu thập nhiều loại thông tin về tình trạng sức khoẻ của mạng do các thiết bị mạng gửi về. CS-MARS xử lý những sự kiện thô từ các thiết bị báo cáo (reporting device), phân loại theo session, sau đó đánh giá theo dựa trên các luật điều tra tương thích có sẵn trên hệ thống hoặc do người dùng định nghĩa. Từ đó xác định các false positive và phối hợp các thông tin đó và biểu diễn trên biểu đồ, đồ thị, truy vấn, báo cáo và các luật. CS-MARS giúp tăng cường bảo mật mạng bằng cách: • Giảm khối lượng dữ liệu thô cần thu thập để giám sát tình trạng bảo mật trên mạng. • Đưa ra hình ảnh trực quan về tình hình bảo mật mạng. • Xác định những nút nhạy cảm trên mạng dễ bị tấn công. • Ngăn chặn các traffic không mong muốn từ mạng. Hệ thống CS-MARS hiện đang sử dụng tại VNNOC là model MARS 50 thuộc nhóm thành phần Local Controller, Local Controller nhận dữ liệu từ các thiết bị báo cáo là firewall, router, hệ thống IDS/IPS và các hệ thống đánh giá khả năng bị tấn công. Căn cứ trên dữ liệu nhận được và mức độ tích hợp giữa chúng, MARS có thể đưa ra các luật phát hiện sự tấn công, và trong một số trường hợp, nó đẩy các luật đó đến thiết bị có chức năng ngăn ngừa tấn công. Một Local Controller tổng hợp thông tin về tình trạng sức khoẻ của mạng căn cứ trên dữ liệu nhận được từ các thiết bị báo cáo trong vùng giám sát của nó. Chức năng của hệ thống CS-MARS được triển khai tại VNNOC gồm: • Thu thập tất cả các sự kiện ở dạng dữ liệu thô. • Phân loại sự kiện theo luồng dữ liệu qua các thiết bị khác nhau • Tạo các luật kiểm tra sự kiện bất thường. • Xác định các cuộc tấn công false positive • Tổng hợp thông tin thành các biểu đồ, đồ thị, truy vấn, báo cáo và thông báo. • Phát hiện các thiết bị báo cáo không kích hoạt • kế thừa tập chữ kí IOS/IPS Distributed Threat Mitigation (DTM) căn cứ trên các cuộc tấn công từ các Cisco IPS 5.x appliance báo về. • Đóng vai trò kho lưu trữ các chữ kí IOS/IPS DTM được download từ các thiết bị IOS/IPS. Biểu đồ tổng hợp về những thông tin tổng quan về mạng mà CS-MAR thu được: 1 Subtab của các thành phần trong summary 2 Case bar 3 Đường dẫn đến các Case 4 Biểu đồ 5 Tabs 6 Thông tin các incident gần nhất 7 Biểu đồ HotSpot và Attack CS-MAR còn có thể thống kê và đưa ra được nhiều loại biểu đồ về trạng thái mạng, như biểu đồ về các vụ tấn công: [...]... cán bộ phụ trách vận hành tại VNNOC có thể phát hiện được những sự kiện bất thường, qua đó tìm cách khắc phục được nhanh nhất giúp cho hệ thống mạng VinaREN hoạt động thông suốt, hiệu quả 3 Quản lý những thiết bị an ninh trong mạng a Quản lý thiết bị tường lửa Firewall Hệ thống mạng tại VNNOC được trang bị một module Firewall gắn trực tiếp vào Router core 7609 đang vận hành trong mạng và một thiết... hệ thống mạng nội bộ của VinaREN với hệ thống mạng bên ngoài Hai thiết bị firewall này được cán bộ phụ trách tại VNNOC cài đặt để bảo vệ hệ thống máy chủ, các thiết bị mạng … đang vận hành khỏi những truy cập trái phép nhờ những danh sách điều khiển truy cập (Access Control List) được cấu hình trên cả hai thiết bị b Quản lý thiết bị phát hiện và phòng chống tấn công IDS/IPS Hệ thống mạng tại VNNOC được... quản lý module này, cán bộ ở VNNOC đã tiến hành cài đặt Cisco Intrusion Prevention System Device Manager (IDM) Đây là phần mềm cho phép cán bộ tại VNNOC có thể cấu hình và quản trị module IDS/IPS qua giao diện đồ hoạ, qua đó tạo tiện lợi cho người quản trị mạng trong việc quản lý module IDS/IPS này III Quản lý một số hệ thống giám sát khác 1 Hệ thống giám sát trong phòng máy chủ Phòng máy chủ tại VNNOC. .. tăng cao … không và qua đó sẽ thông báo qua bằng tin nhắn cho những cán bộ phụ trách vận hành VNNOC để khắc phục sự cố trong thời gian sớm nhất 2 Hệ thống thông báo về tình trạng đường truyền qua mail Tại VNNOC đã triển khai sử dụng phần mềm GFI Network Server Monitor để cảnh báo mất đường truyền qua Email: Người quản trị sẽ nhận ngay một Email thông báo đường truyền kết nối tới địa điểm nào đó bị . QUẢN LÝ VẬN HÀNH MẠNG VINAREN TẠI VNNOC Nguyễn Tuấn Hải (1) , Phó Đức Anh (2) Trung tâm Thông tin Khoa học và Công nghệ Quốc gia (1) haint @vinaren. vn;. qua đó giúp cho cán bộ vận hành quản lý tại VNNOC có thể dễ dàng theo dõi được tình trạng lưu lượng mạng sử dụng tại các đơn vị thành viên. NAM cho phép