Trang 1 ĐẠI HỌC THÁI NGUYÊN TRƢỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG HOÀNG THẾ ANH NGHIÊN CỨU GIẢI PHÁP AN TOÀN THÔNG TIN CHO MỘT SỐ KIẾN TRÚC QUẢN TRỊ MẠNG LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Thái Nguyên - 2013 Trang 2 Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ ĐẠI HỌC THÁI NGUYÊN TRƢỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG HOÀNG THẾ ANH NGHIÊN CỨU GIẢI PHÁP AN TOÀN THÔNG TIN CHO MỘT SỐ KIẾN TRÚC QUẢN TRỊ MẠNG LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Chuyên ngành: Khoa học máy tính Mã số: 60480101 NGƢỜI HƢỚNG DẪN KHOA HỌC: PGS, TS. NGUYỄN VĂN TAM Thái Nguyên - 2013 Trang 3 Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ LỜI CẢM ƠN Để hoàn thành chương trình cao học và viết luận văn này, tôi đã nhận được sự hướng dẫn, giúp đỡ và góp ý nhiệt tình của quí thầy cô trường Đại học Công nghệ Thông tin và Truyền thông – Đại học Thái Nguyên. Trước hết, tôi xin chân thành cảm ơn đến quí thầy cô trường Đại học Công nghệ Thông tin và Truyền thông – Đại học Thái Nguyên, đặc biệt là những thầy cô đã tận tình dạy bảo cho tôi suốt thời gian học tập tại trường. Tôi xin gửi lời biết ơn sâu sắc đến PGS,TS Nguyễn Văn Tam đã dành rất nhiều thời gian và nhiệt tình hướng dẫn nghiên cứu giúp tôi hoàn thành luận văn tốt nghiệp. Nhân đây, tôi xin chân thành cảm ơn Ban Giám hiệu trường Đại học Công nghệ Thông tin và Truyền thông – Đại học Thái Nguyên cùng quí thầy cô đã tạo rất nhiều điều kiện để tôi học tập và hoàn thành tốt khóa học. Mặc dù tôi đã có nhiều cố gắng hoàn thiện luận văn bằng tất cả sự nhiệt tình và năng lực của mình, tuy nhiên không thể tránh khỏi những thiếu sót, rất mong nhận được những đóng góp quí báu của quí thầy cô và các bạn. Thái Nguyên, tháng 12 năm 2013 Học viên HOÀNG THẾ ANH Trang 4 Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ LỜI CAM ĐOAN Tôi xin cam đoan luận văn là kết quả nghiên cứu của tôi, không sao chép của ai. Nội dung luận văn có tham khảo và sử dụng các tài liệu liên quan, các thông tin trong tài liệu được đăng tải trên các tạp chí và các trang website theo danh mục tài liệu tham khảo của luận văn. Tác giả luận văn HOÀNG THẾ ANH Trang 5 BẢNG DANH MỤC CÁC THUẬT NGỮ VIẾT TẮT VÀ HÌNH ẢNH 1. CÁC THUẬT NGỮ VIẾT TẮT THUẬT NGỮ, VIẾT TẮT MÔ TẢ Ý NGHĨA SNMP Simple Network Management Protocol SNMPv1 Simple Network Management Protocol version 1 SNMPv2 Simple Network Management Protocol version 2 SNMPv3 Simple Network Management Protocol version 3 NMS Network Management Station IOS Internetwork Operation System UDP User Datagram Protocol TCP Transmission Control Protocol TCP/IP Transmission Control Protocol/Internet Protocol UDP User Datagram Protocol PDU Protocol Data Unit HTML HyperText Transfer Protocol xHTML Extensible - HyperText Transfer Protocol PDA Personal Digital Assistant IP Internet Protocol QTM Quản trị mạng XML eXtensible Markup Language DTD Document Type Definition SAX Simple API for XML XSL EXtensible Stylesheet Language XSLT XSL Transformations XPath Ngôn ngữ đường dẫn XML XUpdate Là một ngôn ngữ cập nhật XQuery Ngôn ngữ truy vấn XML SMTP Simple Mail Transfer Protocol API Application Programming Interface DOM Document Object Model DB DataBase WBEM Web-Based Enterprise Management DMTF Distributed Management Task Force CIM Common Information Model EWS Exchange Web Service" XNM XML Network Managment RPC Remote Procedure Calls SSL Secure Socket Layer Trang 6 Manager Quản lý Agent Thiết bị máy trạm TFTP Trivial File Transfer Protocol RTT Round-Trip Time MIB Management Information Base OID Object Identifiers ACK Acknowledge QLM Quản lý mạng RFC Request for Comments MD5 Message-Digest algorithm 5 HMAC Hash Message Authentication Code CBC-DES Data Encryption Standard - Cipher Block Chaining BER Basic Encoding Rules LCD Liquid Crystal Display LAN Local Area Network DES Data Encryption Standard 2. DANH MỤC CÁC HÌNH STT Tên hình Trang ng 1 Hình 1.1: Các công nghệ XML 12 2 Hình 1.2: Các nhiệm vụ cơ bản trong hệ quản trị mạng 14 3 Hình 1. 3: Các phối hợp giữa manager và agent 16 4 Hình 1.4. Xem trộm thông điệp 17 5 Hình 1.5. Sửa thông điệp 18 6 Hình 1.6. Mạo danh 18 7 Hình 1.7. Phát lại thông điệp 19 8 Hình 1.8. Mô hình bảo mật truyền thông tin trên mạng 20 9 Hình 2.1. Mô hình hoạt động giữa Manager và Agent 24 10 Hình 2.2 Các lệnh truyền thông Manager/Agent 27 11 Hình 2.3 Các lệnh truyền thông Manager/Agent- GET 27 12 Hình 2.4 Các lệnh truyền thông Manager/Agent Get-next 29 13 Hình 2.5 Các lệnh truyền thông Manager/Agent G et-bulk 30 14 Hình 2.6 Các lệnh truyền thông Manager/Agent (Set) 31 15 Hình 2.7 Các lệnh truyền thông Manager/Agent (SNMP Traps) 33 16 Hình 2.8 SNMP trong TCP/IP 36 17 Hình 2.9: Cây đăng ký của OSI 42 18 Hình 2.10: Cây MIB-II Internet 43 19 Hình 2.11 Cấu trúc phần tử SNMP 51 Trang 7 20 Hình 2.12 Phân hệ bảo mật 51 21 Hình 2.13 Các thành phần của một SNMP Manager. 52 22 Hình 2.14 Các thành phần của một SNMP Agent 53 23 Hình 3.1 Mô hình triển khai 73 39 Hình 3.2 câu lệnh cài đặt gói SNMP 73 40 Hình 3.3 quá trình cài các gói hỗ trợ PHP 74 41 Hình 3.4 Thông báo quá trình cài đặt gói SNMP 74 42 Hình 3.5 Thông báo quá trình cài đặt gói RRDTool 75 43 Hình 3.6 Thông báo quá trình cài đặt gói RRDTool 75 44 Hình 3.7 Thông báo quá trình cài đặt gói Cacti) 75 45 Hình 3.8 Màn hình giao diện Cacti khởi động cài đặt 76 46 Hình 3.9 Màn hình giao diện Cacti kiểm tra các công cụ 76 47 Hình 3.10 Màn hình đăng nhập hệ thống 77 48 Hình 3.11 Màn hình giao diện chính hệ thống 77 49 Hình 3.12 Màn hình giao diện phần bô sung thiết bị cần giám sát 78 50 Hình 3.13 Màn hình giao diện bật chức năng SNMP trong Win XP 79 51 Hình 3.14 Màn hình giao cấu hình dich vụ SNMP trong Win XP 74 52 Hình 3.15 Màn hình giao thêm thiết bị mới trong Cacti 79 53 Hình 3.16 Danh sách các nội dung cần xem 80 54 Hình 3.17 Trang thái kết nối thiết bị trong Cacti 80 55 Hình 3.18 tạo Graphs cho thiết bị trong Cacti 81 56 Hình 3.19 tạo “Tree” cho thiết bị trong Cacti 81 57 Hình 3.20: Tạo các thành phần cho “Tree” cho thiết bị trong Cacti 82 58 82 59 Hình 3.22: Một templace data trong Cacti 83 60 Hình 3.23: Xem hình ảnh giám sát một thiết bị trong Cacti 83 61 Hình 3.24: Xem hình ảnh giám sát bằng biểu đó một thiết bị trong Cacti 84 62 84 63 Hình 3.26 Mô hình hoạt động của SNMP thực nghiệm 85 Trang 8 ĐẶT VẤN ĐỀ Ngày nay, mạng Internet đã không ngừng phát triển cùng với sự phát triển của xã hội, hệ thống mạng ngày càng tích hợp nhiều mạng không đồng nhất để chia sẻ thông tin. Do quy mô mạng ngày càng phát triển để đáp ứng nhu cầu của con người, hệ thống mạng ngày càng phức tạp và đòi hỏi sự hoạt động có hiệu quả, độ tin cậy cao. Để bảo đảm tính sẵn sàng và hiệu năng cao cho mạng, đặc biệt là mạng Internet phải có một hệ thống quản trị mạng để thu nhận, phân tích khối lượng dữ liệu lớn và đưa ra những hiệu chỉnh phù hợp, kịp thời. Thông tin quản trị mạng trên môi trường Internet có thể bị mất mát, thất lạc, thay đổi hoặc có khả năng giả mạo, vv. Tất cả mọi thông tin được truyền đi và nhận đều cần được bảo vệ an toàn, chính xác và tin cậy. Vì vậy trong kiến trúc quản trị mạng SNMP, các phiên bản SNMPv1 và SNMPv2 đã đưa ra giải pháp xác thực cộng đồng. Tuy nhiên, việc đảm bảo tính xác thực, tính toàn vẹn, tính bảo mật của các thông điệp quản trị mạng là hết sức cần thiết, phiên bản SNMPv3 đã đáp ứng được những yêu cầu này. Bên cạnh kiến trúc quản trị mạng SNMP, kiến trúc quản trị mạng dựa trên Web cũng đang được các nhà khoa học công nghệ quan tâm vì nó được thừa hưởng những giải pháp an ninh đã phat triển cho hệ thống Web. Vì vậy, tôi đã chọn hướng đề tài này để nghiên cứu. Trong khuôn khổ kiến thức có được qua quá trình được đào tạo tại trường và công việc thực tế, tôi chọn đề tài “ Nghiên cứu giải pháp an toàn thông tin cho một số kiến trúc quản trị mạng” với đề tài này tôi muốn đóng góp, xây dựng thử nghiệm vào một mô hình cụ thể và qua đó đánh giá khả năng triển khai trong thực tế hệ thống quản trị mạng có độ an ninh cao. Luận văn bao gồm 3 chương: Chương 1: Tổng quan về quản trị và an ninh thông tin trên Internet. Chương 2: Quản trị mạng SNMP và giải pháp an ninh của SNMPv3 Chương 3: Thử nghiệm công cụ quản trị mạng an toàn dựa trên mã nguồn mở. Xin chân thành cảm ơn sự nhiệt tình giúp đỡ của các thầy cô trong trường và đặc biệt là PGS.TS Nguyễn Văn Tam đã giúp tôi hoàn thành luận văn này. Người thực hiện HOÀNG THẾ ANH Trang 9 MỤC LỤC NỘI DUNG TRANG LỜI CẢM ƠN 3 ĐẶT VẤN ĐỀ 5 CHƢƠNG 1: TỔNG QUAN VỀ QUẢN TRỊ VÀ AN NINH THÔNG TIN INTERNET 10 1.1 Các khái niệm cơ bản 10 1.1.1 Thiết lập cấu hình, quản trị tài nguyên 10 1.1.2 Quản trị người dùng và các dịch vụ mạng 11 1.1.3 Quản trị hiệu suất hệ thống mạng 12 1.1.4 Quản trị bảo mật, an toàn mạng 12 1.2 Các kiến trúc quản trị mạng 13 1.2.1 Quản trị mạng SNMP 13 1.2.2 Quản trị mạng dưa trên Web 14 1.2.3 Một số kiến trúc quản trị mạng khác (QTM dựa trên XML) 15 1.3 Vấn đề đảm bảo an ninh cho thông điệp truyền trên Internet 20 1.3.1 Các đe doạ đối với các thông điệp truyền trên mạng. 20 1.3.2 Một số giải pháp bảo đảm an ninh cho thông điệp truyền trên mạng. 22 CHƢƠNG 2: QUẢN TRỊ MẠNG SNMP VÀ GIẢI PHÁP AN NINH SNMPV3 26 2.1. Mô hình truyền thông của quản trị mạng SNMPv1, SNMPv2 26 2.1.1 Hệ thống truyền thông Manager/Agent 26 2.1.2 Các lệnh truyền thông Manager/Agent 29 2.1.3 Cấu trúc của các thông điệp của quản trị mạng SNMPv1, SNMPv2 38 2.1.4 Cơ chế bảo đảm an ninh của SNMPv1, SNMPv2 48 2.2 Giải pháp an ninh cho các thông điệp trong SNMPv3 50 2.2.1 Giới thiệu SNMPv3 50 2.2.2 Các đặc điểm mới trong SNMPv3 52 2.2.3 Kiến trúc mô đun và cấu trúc thông điệp của quản trị mạng SNMPv3 53 2.2.4 Mô hình bảo mật dựa trên người dùng (User-Based SecurityModel). 59 2.2.5 Mô hình điều khiển truy nhập đựa trên danh sách đối tượng (View-Based Access Control (VACM) 70 2.3 Quản trị mạng dựa trên Web và Giải pháp an ninh 70 2.3.1. Kiến trúc và Mô hình quản trị mạng dựa trên Web 71 2.3.2. Giải pháp an ninh cho quản trị mạng dựa trên Web 71 CHƢƠNG 3. 74 THỬ NGHIỆM CÔNG CỤ QUẢN TRỊ MẠNG AN TOÀN DỰA TRÊN MÃ NGUỒN MỞ 74 3.1 LỰA CHỌN MÔ HÌNH VÀ ỨNG DỤNG CÔNG CỤ THỬ NGHIỆM 74 3.1.1 Mô hình thư nghiệm 74 3.1.2 Ứng dụng mô hình 74 3.1.3 Giới thiệu về Cacti 75 3.1.4 Mô hình triển khai. 76 3.1.5 Cài đặt các chương trình 76 3.1.6 Cấu hình phần mềm mã nguồn mở Cacti. 80 3.2. QUÁ TRÌNH HOẠT ĐỘNG VÀ ĐÁNH GIÁ KẾT QUẢ THỰC NGHIỆM 88 3.2.1 Phân tích quá trình hoạt động 88 3.2.2 Đánh giá kết quả thực nghiệm 89 3.3 KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN 92 3.3.1 Kết luận 92 3.3.2 Hướng phát triển 92 Trang 10 CHƢƠNG 1: TỔNG QUAN VỀ QUẢN TRỊ VÀ AN NINH THÔNG TIN INTERNET 1.1 Các khái niệm cơ bản 1.1.1 Thiết lập cấu hình, quản trị tài nguyên Có rất nhiều định nghĩa, khái niệm về “quản trị mạng”, tuy nhiên để định nghĩa một khái niệm nào đó cụ thể về quản trị mạng thì rất khó, những khái niệm đó có thể chính xác trong một thời điểm nhưng xét về lâu dài sẽ bị lạc hậu do có nhiều sự thay đổi trong cung cách quản lý một hệ thống mạng. Trong quá trình tìm hiểu và thực hành trong môi trường mạng, các nhà quản trị mạng đưa ra một số khái niệm trực quan nhất về “quản trị mạng” mà từ đó ta có thể biết được các công việc và vai trò của mình như: - Thiết lập cấu hình, quản trị tài nguyên: Bao gồm việc quản lý, thiết lập cấu hình, quản lý tài nguyên với các đối tượng khác nhau. - Quản trị người dùng và các dịch vụ mạng: bao gồm việc quản trị các tài khoản người dùng trên hệ thống và bảo đảm các dịch vụ hoạt động ổn định đúng tiêu chuẩn. - Quản trị hiệu suất hệ thống mạng: bao gồm việc quản lý, giám sát hoạt động mạng lưới, đảm bảo hoạt động các thành phần hệ thống ổn định. - Quản trị bảo mật, an toàn mạng: bao gồm việc giám sát, bảo mật và khắc phục sự cố mạng giúp các hệ thống để đảm bảo phòng tránh các truy nhập trái phép. Thiết lập cấu hình là một công việc cơ bản nhất của nền tảng mạng, việc thiết lập cấu hình các thiết bị mạng sẽ cho ta một cái nhìn tổng thể về hệ thống mạng của mình, ví dụ ta thiết lập sử dụng lớp IP từ đó ta có thể biết được quy mô của hệ thống mạng (số lượng nút) từ đó hoạch định được các khu vực để đưa ra mô hình quản trị cho tốt. Quản trị tài nguyên mạng cũng rất quan trọng, nó yêu cầu người quản trị phải biết phân chia, sắp xếp các thiết bị ở các lớp mạng cho phù hợp nhằm phân tải, và tối đa hóa [...]... vụ quản trị mạng Các nhiệm vụ quản trị cơ bản trong một hệ quản trị mạng được mô tả như hình 1.2 Hình 1.2: Các nhiệm vụ cơ bản trong hệ quản trị mạng - Mô hình hóa thông tin quản trị Các XML Schema được sử dụng để tối đa hóa những lợi thế quan trọng của XML trong mô hình thông tin quản trị so với các giải pháp thay thế khác - Hợp thức hóa thông tin quản trị Nhiệm vụ của việc hợp thức hóa thông tin quản. .. Management ) là một sáng kiến của DMTF, bao gồm một tập hợp các công nghệ cho phép quản lý tương thích một doanh nghiệp WBEM định nghĩa một mô hình thông tin gọi là Mô hình thông tin chung (CIM) XNM - Quản trị mạng dựa trên XML: Quản trị mạng dựa trên XML (XNM) bằng cách sử dụng dịch vụ Web nhúng (EWS) XNAMI: Là kiến trúc dựa trên XML dành cho quản trị mạng và các ứng dụng SNMP Đây là một ví dụ về kiến. .. dụng một hệ mã nguồn mở để quản trị SNMP theo v3 và thấy được khả năng bảo vệ hệ thống của SNMP3 Trang 26 CHƢƠNG 2: QUẢN TRỊ MẠNG SNMP VÀ GIẢI PHÁP AN NINH SNMPv3 2.1 Mô hình truyền thông của quản trị mạng SNMPv1, SNMPv2 2.1.1 Hệ thống truyền thông Manager/Agent + Manager :là một server có chạy các chương trình có thể thực hiện một số chức năng quản lý mạng Manager có thể xem như là NMS (Network Manager... hiện như quản trị tài nguyên, quản trị hệ thống phần cứng, cấu hình cài đặt, phân quyền chức năng người sử dụng, hiệu suất công việc vv Ngoài ra chúng ta còn nghiên cứu các kiến trúc cơ bản về quản trị mạng, các mô hình an toàn thông tin trên internet Như vậy, để một hệ thống mạng được hoạt động tốt, ngoài các kiến thức mà nhà quản trị phải có thì chúng ta phải luôn tìm hiểu các công nghệ quản trị mới,... Trang 13 1.2 Các kiến trúc quản trị mạng 1.2.1 Quản trị mạng SNMP Giao thức quản trị mạng SNMP (viết tắt từ tiếng Anh: Simple Network Management Protocol) đã được đưa ra từ những năm 80 của thế kỷ trước nhưng đến nay vẫn được sử dụng rộng rãi trong lĩnh vực quản trị của các mạng TCP/IP Mặc dù khi mới được đưa ra, SNMP chỉ được thiết kế như một giải pháp tạm thời để quản trị mạng TCP/IP nhưng do TCP/IP... hiện các hoạt động quản trị bằng cách xử lý các tài liệu XML thông qua giao diện DOM chuẩn - Trình bày XML tách biệt các nội dung của tài liệu từ cách thể hiện XSLT chuyển đổi XML sang HTML hoặc tài liệu XML khác Nếu thông tin quản trị ở định dạng XML, một Web-MUI có thể dễ dàng suy diễn từ các tài liệu XML c) Một số nghiên cứu về phƣơng pháp quản trị mạng dựa trên XML Quản trị doanh nghiệp dựa trên... đảm an ninh cho thông điệp truyền trên mạng ngoài việc chúng ta có một hệ thống phần cứng tiêu chuẩn, hệ thống phần mền dịch vụ triển khai trên đó an toàn, phân quyền người dùng thì chúng ta phải tuân thủ một số chính sách an toàn thông tin như trên để đảm bảo thông tin của chúng ta ít có khả năng xâm phạm nhất ./ Trang 25 Tóm tắt chƣơng Ở chương 1 chúng ta đã làm rõ các khái niệm mà quản trị mạng. .. thay đổi quy mô của hệ thống mạng 1.1.2 Quản trị ngƣời dùng và các dịch vụ mạng Một hệ thống mạng phải được phân tích ngay từ đầu là số lượng người sử dụng và các dịch vụ cài đặt trên đó là gì, từ đó ta có thể chọn các mô hình quản trị và lựa chọn thiết bị cho phù hợp Ví dụ, một hệ thống mạng cho một trường đại học sẽ phải khác rất nhiều cho một hệ thống mạng của một doanh nghiệp, vì các dịch vụ triển... chuyển thêm cho C 1000$ nữa Hình 1.7 Phát lại thông điệp 1.3.2 Một số giải pháp bảo đảm an ninh cho thông điệp truyền trên mạng a) Yêu cầu của một hệ truyền thông tin an toàn và bảo mật Phần trên đã trình bày các hình thức tấn công, một hệ truyền tin được gọi là an toàn và bảo mật thì phải có khả năng chống lại được các hình thức tấn công trên Như vậy hệ truyền tin phải có các đặt tính sau: 1) Tính bảo... Việc quản trị mạng dựa trên nền tảng web đã mang lại cho người quản trị một không gian làm việc thoải mái hơn, tiện dụng hơn khi mà họ có thể sử dụng bất kỳ thiết bị Trang 15 nào có kết nối mạng và sử dụng các trình duyệt web thông dụng như IE, Firefox, chrome, Safari… để truy cập hệ thống và quản trị với các chức năng cài đặt sẵn Với lợi thế lớn như vậy, các hệ quản trị mạng có xu hướng chuyển qua quản . Trang 1 ĐẠI HỌC THÁI NGUYÊN TRƢỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG HOÀNG THẾ ANH NGHIÊN CỨU GIẢI PHÁP AN TOÀN THÔNG TIN CHO MỘT SỐ KIẾN TRÚC QUẢN TRỊ MẠNG. HOÀNG THẾ ANH NGHIÊN CỨU GIẢI PHÁP AN TOÀN THÔNG TIN CHO MỘT SỐ KIẾN TRÚC QUẢN TRỊ MẠNG LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Chuyên ngành: Khoa học máy tính Mã số: 60480101. hình, quản trị tài nguyên 10 1.1.2 Quản trị người dùng và các dịch vụ mạng 11 1.1.3 Quản trị hiệu suất hệ thống mạng 12 1.1.4 Quản trị bảo mật, an toàn mạng 12 1.2 Các kiến trúc quản trị mạng