Phân tích đánh giá một số công cụ giám sát mạng và thử nghiệm với bộ công cụ CACTI

Hiện nay, Internet đã trở thành một phần không thể thiếu trong đời sống của con người. Internet giúp quá trình trao đổi thông tin, truyền thông nhanh chóng. Tuy nhiên, nguy cơ mất an toàn gián đoạn trong truyền thông gây nên hậu quả to lớn về kinh tế chính trị. Tháng 062007, sự cố gián đoạn an ninh mạng tại Kiên Giang gây thiệt hại gần 6 triệu USD, ảnh hướng tới thông tin liên lạc các dịch vụ viễn thông tại Việt Nam. Ngày 17082013, sự cố sập mạng trong 5 phút của Google đã làm tổng lưu lượng truy cập Internet toàn cầu giảm đến 40%, tuy chỉ xảy ra trong vòng 5 phút, nhưng thiệt hại của Google lên đến nửa triệu USD (10,5 tỷ đồng). Những vụ tấn công từ chối dịch vụ cũng là nguyên nhân chính làm sập hệ thống máy chủ, theo báo cáo điều tra của bộ phận nghiên cứu từ Tổ chức Quốc tế các ủy ban chứng khoán và Liên đoàn Quốc tế các văn phòng giao dịch chứng khoán công bố vào tháng 7, gần 50% hệ thống giao dịch chứng khoán ghi nhận các đợt tấn công, hầu hết là tấn công từ chối dịch vụ làm nghẽn hệ thống với lưu lượng dữ liệu rất lớn. Tại Việt Nam, nhiều sự cố an ninh mạng trong thời gian vừa qua đã làm thiệt hại rất lớn cho các tổ chức, doanh nghiệp, và mức độ nghiêm trọng và quy mô của chúng không ngừng tăng lên.

Vũ Kim Cương

PHÂN TÍCH ĐÁNH GIÁ MỘT SỐ CÔNG CỤ GIÁM SÁT MẠNG VÀ THỬ NGHIỆM VỚI BỘ CÔNG CỤ

CACTI Chuyên ngành : Hệ thống thông tin

Mã số: 60.48.01.04

LUẬN VĂN THẠC SĨ KỸ THUẬT

NGƯỜI HƯỚNG DẪN KHOA HỌC PGS.TSKH HOÀNG ĐĂNG HẢI

HÀ NỘI - 2014

Các số liệu, kết quả nêu trong luận văn là trung thực và chưa từng được ai công

bố trong bất kỳ công trình nào khác

Hà Nội, ngày tháng năm 2014

Tác giả luận văn

Vũ Kim Cương

Hải, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) đã hướng dẫn tậntình, động viên và tạo điều kiện thuận lợi trong suốt quá trình làm khóa luận.

Em xin chân thành cảm ơn các thầy, cô khoa Quốc tế và Đào tạo Sau đại họccùng toàn thể các thầy giáo, cô giáo tham gia giảng dạy đã tạo điều kiện, truyền đạtnhững kiến thức nền tảng mang tính định hướng rất có ích trong quá trình làm khóaluận

Tác giả luận văn

Vũ Kim Cương

MỤC LỤC

DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT ii

DANH SÁCH HÌNH VẼ iii

MỞ ĐẦU 1

Chương 1 – TỔNG QUAN VỀ VẤN ĐỀ GIÁM SÁT MẠNG 3

1.1 Giám sát mạng và nhu cầu giám sát mạng 3

1.2 Mục tiêu của việc giám sát mạng 4

1.3 Các phương thức giám sát mạng 5

1.3.1 Phương thức Poll 5

1.3.2 Phương thức Alert 6

1.3.3 So sánh hai phương thức Poll và Alert 6

1.4 Cơ chế giám sát mạng 9

1.5 Giao thức giám sát mạng SNMP 10

1.5.1 Tổng quan 10

1.5.2 Kiến trúc của SNMP 12

1.5.3 Các phương thức của SNMP 19

1.5.4 Các cơ chế bảo mật SNMP 23

1.5.5 Cấu trúc bản tin SNMP 26

1.6 Kết luận chương 26

Chương 2 – PHÂN TÍCH ĐÁNH GIÁ MỘT SỐ BỘ CÔNG CỤ GIÁM SÁT MẠNG ĐIỂN HÌNH 27

2.1 Giới thiệu chung 27

2.2 Phân tích đánh giá bộ công cụ Cacti 27

2.2.1 Kiến trúc của Cacti 28

2.2.2 Nguyên tắc hoạt động 28

2.2.3 Các tính năng chính 29

2.3 Phân tích đánh giá bộ công cụ OpManager 33

2.3.1 Kiến trúc của OpManager 34

2.3.2 Các tính năng chính 34

2.4 Phân tích đánh giá bộ công cụ Whatsup Gold 40

2.4.1 Kiến trúc của Whatsup Gold 40

2.4.2 Các tính năng chính 41

2.5 So sánh Cacti, OpManager, Whatsup Gold 43

2.6 Kết luận chương 46

Chương 3 – XÂY DỰNG HỆ THỐNG GIÁM SÁT MẠNG VỚI BỘ CÔNG CỤ CACTI 47

3.1 Giới thiệu về hệ thống mạng cần giám sát 47

3.2 Xây dựng mô hình giả lập để thử nghiệm giám sát mạng 48

3.2.1 Sơ đồ mạng thử nghiệm 48

3.3 Cài đặt bộ công cụ Cacti 49

3.4 Cấu hình các chức năng 49

3.5 Xây dựng một số kịch bản mô phỏng 55

3.6 Thực hiện mô phỏng và phân tích kết quả 55

3.7 Kết luận chương 59

KẾT LUẬN 60

TÀI LIỆU THAM KHẢO 62

DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT

Viết tắt Tiếng Anh Tiếng Việt

APM Monitor Application Performance Giám sát hiệu suất ứng dụngCORBA Common Object Request Broker

Architecture

Kiến trúc môi giới các đối tượng

FTP File Transfer Protocol Giao thức truyền tập tin

HTTP HyperText Transfer Protocol Giao thức truyền tải siêu văn bảnICMP Internet Control Message Protocol Giao thức điều khiển thông điệp

InternetIPAM IP Address Management Quản lý địa chỉ IP

MIB Management Information Base Cơ sở thông tin quản lý

NMC Network change and Configuration

Management

Quản lý sự thay đổi của mạng vàcấu hình mạng

NMS Network Monitoring System Hệ giám sát mạng

SNMP Simple Network Management Protocol Giao thức quản lý mạng đơn giảnVPN Virtual Private Network Mạng riêng ảo

DANH SÁCH HÌNH VẼ

Hình 1.3 Trạm quản lý mạng (Network management station) 13

Hình 1.5 Hình minh họa quá trình lấy SysName 16

Hình 1.7 Hình minh họa các phương thức của SNMPv1 23

Hình 2.5 Giám sát trạng thái thiết bị trong Cacti 33

Hình 2.11 Màn hình điều khiển của Whatsup Gold 42

Hình 3.12 Hệ thống đang ở trạng thái bình thường 56Hình 3.13 Cảnh báo bà biểu đồ cảnh báo của WebServer 56Hình 3.14 Biểu đồ và cảnh báo của WebServer khi đang bị tấn công 57Hình 3.15 Sau khi tấn công DdoS vào WebServer 58

Hiện nay, Internet đã trở thành một phần không thể thiếu trong đời sống của conngười Internet giúp quá trình trao đổi thông tin, truyền thông nhanh chóng Tuy nhiên,nguy cơ mất an toàn gián đoạn trong truyền thông gây nên hậu quả to lớn về kinh tếchính trị Tháng 06-2007, sự cố gián đoạn an ninh mạng tại Kiên Giang gây thiệt hạigần 6 triệu USD, ảnh hướng tới thông tin liên lạc các dịch vụ viễn thông tại Việt Nam.Ngày 17-08-2013, sự cố sập mạng trong 5 phút của Google đã làm tổng lưu lượng truycập Internet toàn cầu giảm đến 40%, tuy chỉ xảy ra trong vòng 5 phút, nhưng thiệt hạicủa Google lên đến nửa triệu USD (10,5 tỷ đồng) Những vụ tấn công từ chối dịch vụcũng là nguyên nhân chính làm sập hệ thống máy chủ, theo báo cáo điều tra của bộphận nghiên cứu từ Tổ chức Quốc tế các ủy ban chứng khoán và Liên đoàn Quốc tế cácvăn phòng giao dịch chứng khoán công bố vào tháng 7, gần 50% hệ thống giao dịchchứng khoán ghi nhận các đợt tấn công, hầu hết là tấn công từ chối dịch vụ làm nghẽn

hệ thống với lưu lượng dữ liệu rất lớn Tại Việt Nam, nhiều sự cố an ninh mạng trongthời gian vừa qua đã làm thiệt hại rất lớn cho các tổ chức, doanh nghiệp, và mức độnghiêm trọng và quy mô của chúng không ngừng tăng lên

Việc theo dõi, giám sát mạng, đưa ra cảnh báo, phục vụ công tác xử lý sự cố,đảm bảo tính sẵn sàng của mạng là việc cần thiết, giúp cho quá trình lưu thông tin tứcđược liên tục và thông suốt Góp phần giúp cho các tổ chức giảm được các chi phí khi

có rủi ro xảy ra Hiện nay hầu hết các tổ chức doanh nghiệp vẫn giám sát hệ thốngmạng theo phương pháp thủ công, không nắm rõ được vấn đề ngay khi sự cố xảy ra.Việc nghiên cứu một số công cụ giám sát mạng là hết sức cần thiết để tận dụng tối ưutài nguyên mạng, cũng như đảm bảo độ tin cậy và tính sẵn sàng của hệ thống mạng

Xuất phát từ nhu cầu thực tế trên, luận văn đặt vấn đề nghiên cứu về vấn đềgiám sát mạng, phân tích đánh giá một số bộ công cụ giám sát mạng điển hình và xâydựng thử nghiệm một hệ thống giám sát mạng với bộ công cụ Cacti.

Mục đích nghiên cứu:

Phân tích và đánh giá một số bộ công cụ giám sát mạng điển hình, Trên cơ sở đóthự hiện xây dựng triển khai và mô phỏng thử nghiệm với một bộ công cụ điển hình làCacti

Đối tượng và phạm vi nghiên cứu:

Đối tượng nghiên cứu: một số hình thức: Công cụ giám sát mạng Giao thứcSNMP

Phạm vi nghiên cứu: phân tích giao thức SNMP Khảo sát một số công cụ điểnhình đang có, phân tích, so sánh và đánh giá

Phương pháp nghiên cứu:

Về mặt lý thuyết: Tìm hiểu, phân tích giao thức SNMP Tìm hiểu một số bộcông cụ giám sát mạng

Về thực tế: Tham khảo ý kiến chuyên gia và thu thập thông tin trên Internet

Về công cụ sử dụng: Khai thác, sử dụng bộ công cụ Cacti

Nội dung chính của luận văn được bố cục thành 3 chương như sau:

Chương 1: Tổng quan về vấn đề giám sát mạng

Chương 2: Phân tích đánh giá một số bộ công cụ giám sát mạng điển hình

Chương 3: Xây dựng hệ thống giám sát mạng với bộ công cụ Cacti

Chương 1 – TỔNG QUAN VỀ VẤN ĐỀ GIÁM SÁT MẠNG

1.1 Giám sát mạng và nhu cầu giám sát mạng

Hệ giám sát (Network Monitoring System) là sử dụng một hệ thống theo dõithường xuyên một mạng máy tính về trạng thái của các thành phần trong mạng vàthông báo cho người quản lý trong trường hợp có sự cố hoặc cảnh báo sự cố.[6]

Giám sát mạng cho mạng của một doanh nghiệp là một chức năng quan trọng, nó

có thể tiết kiệm chi phí thông qua việc làm tăng hiệu quả của mạng lưới, năng suấtnhân viên và cơ sở hạ tầng Một hệ giám sát mạng có thể giám sát nhiều vấn đề Có thểgiám sát và giải quyết các sự cố của hệ thống, hoạt động truyền tải dữ liệu của ngườidùng, nguyên nhân do quá tải, nguyên nhân sập mạng, kết nối mạng bị trễ hoặc quản lýcác thiết bị.[3]

Giám sát mạng có thể đạt được bằng cách sử dụng công cụ khác nhau hoặc kết hợpgiữa thiết bị phần cứng và giải pháp phần mềm Hầu hết bất kì loại mạng nào cũng cóthể được giám sát Không quan trọng là kết nối dây hay không dây, một mạng Landoanh nghiệp, VPN hoặc dịch vụ cung cấp WAN Người quản lý có thể giám sát trêncác hệ điều hành khác nhau với vô số chức năng, từ hệ điều hành của điện thoại thôngminh, tới các máy chủ, bộ định tuyến và thiết bị chuyển mạch Hệ giám sát có thể giúpngười quản lý xác định các hoạt động cụ thể và số liệu hiệu suất, đưa ra kết quả chophép doanh nghiệp giải quyết các yêu cầu khác nhau, đưa ra các mối đe dọa an ninhnội bộ và cung cấp nhiều hiển thị hoạt động hơn Việc quyết định dùng công cụ nào đểgiám sát mạng rất quan trọng Người quản lý phải nắm rõ cấu trúc sơ đồ mạng củacông ty, đó là sơ đồ chính xác để có thể thiết lập cấu hình giám sát, giúp nhanh chónggiải quyết khi có sự cố phát sinh

Nhiều nhà quản lý cho rằng, nếu hệ thống cứ thế chạy và không thay đổi các thông

số đã cấu hình, tại sao lại phải quan tâm đến việc phải giám sát mạng Lý do để khẳngđịnh việc giám sát mạng là nhằm duy trì độ tin cậy và tính sẵn sàng của mạng lưới,tăng hiệu suất của mạng lưới

1.2 Mục tiêu của việc giám sát mạng

Hệ giám sát mạng thường để kiểm tra băng thông sử dụng, kiểm tra hiệu suất củathiết bị, trạng thái của chúng Hệ giám sát sẽ giúp định hướng trong môi trường phứctạp, đưa ra các báo cáo, người quản lý có thể sử dụng các báo cáo này để:

 Xác nhận việc tuân thủ quy định và chính sách

 Tiết kiệm chi phí tiềm lực bằng cách tìm nguồn dữ liệu dư thừa

 Xác định liên kết mạng diện rộng yếu và thắt cổ chai

 Xác định đọ trễ mạng hoặc việc chuyển tải dữ liệu bị trễ

 Xác định sự bất thường trong mạng nội bộ

Mỗi báo cáo của hệ giám sát có thể giúp nhà quản lý trả lời những câu hỏi khókhăn như:

 Giúp nhà thiết kế làm đơn giản hóa và đồng nhất hệ thống với chi phí thấp, giúpđưa ra quyết định thay thế các phân đoạn mạng với chi phí chấp nhận được

 Hệ điều hành và các ứng dụng chạy trên server có cần thiết hay không?

 Mỗi máy trạm do ai sử dụng và lưu lượng băng thông của chúng?

 Làm thế nào để tăng hiệu suất của máy chủ?

 Thành phần nào trong mạng có dấu hiệu lỗi hoặc đang bị lỗi?

 Hệ thống có đang tận dụng triệt để tài nguyên?

Giám sát mạng cẩn thận cho phép nhà quản lý tất cả các thông tin họ cần để chứngminh việc nâng cấp mạng và mở rộng mạng là cần thiết để hỗ trợ doanh nghiệp thành

công trong tương lai Hệ giám sát mạng làm việc hiệu quả sẽ thông báo cho nhà quản

lý biết thiết bị, dịch vụ hoặc ứng dụng được phép đang hoạt động ở mức độ nào

1.3 Các phương thức giám sát mạng

Như đã nói ở trên mục tiêu của giám sát mạng là kiểm tra và giám sát hiệu năngthực tế của hệ thống Giám sát mạng có hai phương thức chính, các công cụ và giaothức giám sát đều được xây dựng trên hai phương thức này Đó là Poll và Alert, việchiểu rõ hoạt động của Poll & Alert và ưu nhược điểm của chúng sẽ giúp ta dễ dàng tìmhiểu nguyên tắc hoạt động của các giap thức hay công cụ giám sát khác

1.3.1 Phương thức Poll

Nguyên tắc hoạt động: Máy chủ giám sát sẽ thường xuyên hỏi thông tin củathiết bị cần giám sát Nếu máy chủ giám sát không hỏi thì thiết bị không trả lời, nếumáy chủ giám sát hỏi thì thiết bị phải trả lời Bằng cách hỏi thường xuyên, máy chủgiám sát sẽ luôn cập nhất được thông tin mới nhất từ thiết bị.[1]

Hình 1.1 Hình minh họa cơ chế Poll [1]

Việc thu thập thông tin có thể được thực hiện bởi việc gửi các bản tin thăm dòđịnh kỳ tuy nhiên do dữ liệu giám sát có thể có giá trị trung bình trong khoảng thờigian dài và không thể hiện được sự thay đổi trong hệ thống nên các chu kỳ giám sát

ngắn thường được dùng nhiều hơn vì các phép đo đem lại kết quả tốt hơn mặc dù việcgửi các bản tin theo chu kỳ ngắn có thể sẽ làm tăng lưu lượng trên mạng.

1.3.2 Phương thức Alert

Nguyên tắc hoạt động: mỗi khi trong thiết bị xảy ra một sự kiện nào đó thì thiết

bị sẽ tự động gửi thông báo cho máy chủ giám sát, các tin này gọi là Alert Máy chủgiám sát không hỏi thông tin định kỳ từ thiết bị.[1]

Hình 1.2 Hình minh họa cơ chế Alert [1]

Device chỉ gửi những thông báo mang tính sự kiện chứ không gửi những thôngtin thường xuyên thay đổi, nó cũng sẽ không gửi Alert nếu chẳng có sự kiện nào xày

ra Chẳng hạn, nếu một cổng down hoặc up thì Device sẽ gửi thông báo, còn tổng sốbyte được truyền qua port đó sẽ không được Device gửi đi vì đó là thông tin thườngxuyên thay đổi Muốn lấy những thông tin thường xuyên thay đổi thì Manager phải chủđộng gửi tin hỏi Device, tức là phải sử dụng phương thức Poll

1.3.3 So sánh hai phương thức Poll và Alert

Hai phương thức Poll và Alert là hoàn toàn khác nhau về cơ chế Một ứng dụnggiám sát có thể sử dụng Poll hoặc Alert hoặc cả hai, tùy vào yêu cầu cụ thể trong thựctế

Ta sẽ so sánh sự khác nhau giữa hai phương thức theo bảng sau:

Có thể chủ động lấy những thông tin

cần thiết từ các đối tượng mình quan

tâm, không cần lấy những thông tin

không cần thiết từ những nguồn

không quan tâm

Tất cả những event xảy ra đềuđược gửi về Manager phải có cơchế lọc những event cần thiết,hoặc Device phải thiết lập được

cơ chế chỉ gửi những event cầnthiết lập

Có thể lập bảng trạng thái tất cả các

thông tin của Device sau khi poll qua

một lượt các thông tin đó VD:

Device có một port down, Manager

sẽ biết được port đang down sau khi

poll qua một lượt tất cả các port

Nếu không có event gì xảy ra thìManager không biết được trạngthái của Device VD: Device cómột port down và Manager đượckhởi động sau đó, thì Manager sẽkhông thể biết được port đangdown

Trong trường hợp đường truyền giữa

Manager và Device xảy ra gián đoạn

và Device có sự thay đổi, thì Manager

sẽ không thể cập nhật Tuy nhiên khi

đường truyền thông suốt trở lại thì

Manager sẽ cập nhật được thông tin

mới nhất do nó luôn luôn poll định

kỳ

Khi đường truyền gián đoạn vàDevice có sự thay đổi thì nó vẫngửi Alert cho Manager, nhưngAlert này sẽ không thể đến đượcManager Sau đó mặc dù đườngtruyền có thông suốt trở lại thìManager vẫn không thể biết đượcnhững gì đã xảy ra

POLL ALERT

tất cả Device để trỏ về Managermới

Nếu tần suất poll thấp, thời gian chờ

giữa 2 chu kì poll dài sẽ làm Manager

chậm cập nhật các thay đổi của

Device Nghĩa là nếu thông tin

Device đã thay đổi nhưng vẫn chưa

đến lượt poll kế tiếp thì Manager vẫn

chưa đến lượt poll kế tiếp thì

Manager vẫn giữ thông tin cũ

Ngay khi có sự kiện xảy ra thìDevice sẽ gửi Alert đến Manager,

do đó Manager

Có thể bỏ sót các sự kiện: khi Device

có thay đổi, sau đó thay đổi trở lại

như ban đầu trước khi đến poll kế tiếp

thì Manager sẽ không phát hiện được

Manager sẽ được thông báo mỗikhi có sự kiện xảy ra ở Device,

do đó Manager không bỏ sót bất

kỳ sự kiện nào

Nếu chu kỳ Poll ngắn sẽ gây tốn băng

thông, nếu chu kỳ dài thì thông tin

Các cơ chế giám sát nhằm để xác định các đặc tính của thiết bị mạng, tiến trìnhgiám sát bao gồm thu thập và lưu trữ các tập tin dữ liệu đó Dữ liệu thường được thuthập qua phương thức Poll hoặc tiến trình giám sát gồm các giao thức quản lý, giám sátmạng.

Sau quá trình thu thập thông tin giám sát, hệ thống sẽ loại bỏ bớt các thông tin

dữ liệu không cần thiết đối với từng nhiệm vụ quản lý Sự thể hiện các thông tin quản

lý cho phép người quản lý nắm bắt hiệu quả nhất các tính năng và đặc tính mạng cầnquản lý Một số kĩ thuật biểu diễn dữ liệu thường được thể hiện dưới dạng ký tự, đồ thịhoặc lưu đồ (tĩnh hoặc động)

Tại thời điểm xử lý thông tin dữ liệu, rất nhiều các thông tin chưa kịp xử lýđược lưu trữ tại các vùng nhớ lưu trữ khác nhau Các cơ chế dự phòng và cập nhật lưutrữ luôn được xác định trước trong các cơ chế giám sát mạng nhằm tránh tối đa tổn thất

dữ liệu

Các phân tích dữ liệu theo thời gian thực luôn yêu cầu thời gian gửi các bản tinPoll theo chu kỳ ngắn Đây là sự đánh đổi giữa các thông tin chính xác và lưu lượng,tài nguyên mạng (hiệu năng của máy chủ giám sát, băng thông mạng) cần thiết để hỗtrợ phân tích dữ liệu giám sát

Khi cấu hình một hệ giám sát chính là cài đặt các tham số trong một thiết bịmạng để theo dõi và giám sát các phần tử Các cơ chế được cấu hình bao gồm truynhập trực tiếp tới các thiết bị, truy nhập từ xa và lấy các tập tin cấu hình từ các thiết bị

đó Dữ liệu cấu hình được thông qua các cách sau:

- Các câu lệnh SET của giao thức SNMP

- Truy nhập qua telnet và giao diện dòng lệnh

- Truy nhập qua HTTP

- Truy nhập qua kiến trúc CORBA

- Sử dụng FTP/TFTP để lấy file cấu hình

Một thiết bị hiểu được và hoạt động tuân theo giao thức SNMP được gọi là

“có hỗ trợ SNMP”(SNMP supported) hoặc “tương thích SNMP” (SNMPcompartible)

SNMP dùng để quản lý, nghĩa là có thể theo dõi, có thể lấy thông tin, có thểđược thông báo, và có thể tác động để hệ thống hoạt động như ý muốn VD một số khảnăng của phần mềm SNMP:

o Theo dõi tốc độ đường truyền của một router, biết được tổng số byte

đã truyền/nhận

o Lấy thông tin máy chủ đang có bao nhiêu ổ cứng, mỗi ổ cứng còntrống bao nhiêu

o Tự động nhận cảnh báo khi switch có một port bị down

o Điều khiển tắt (shutdown) các port trên switch

SNMP dùng để quản lý mạng, nghĩa là nó được thiết kế để chạy trên nền TCP/

IP và quản lý các thiết bị có nối mạng TCP/IP Các thiết bị mạng không nhất thiếtphải là máy tính mà có thể là switch, router, firewall, adsl gateway, và cả một sốphần mềm cho phép quản trị bằng SNMP Giả sử có một cái máy giặt có thể nốimạng IP và nó hỗ trợ SNMP thì có thể quản lý nó từ xa bằng SNMP

SNMP là giao thức đơn giản, do nó được thiết kế đơn giản trong cấu trúc bản tin

và thủ tục hoạt động, và còn đơn giản trong bảo mật (ngoại trừ SNMP version 3) Sửdụng phần mềm SNMP, người quản trị mạng có thể quản lý, giám sát tập trung từ xatoàn mạng của mình

1.5.1.1 Ưu điểm trong thiết kế SNMP

SNMP được thiết kế để đơn giản hóa quá trình quản lý các thành phần trongmạng Nhờ đó các phần mềm SNMP có thể được phát triển nhanh và tốn ít chi phí.SNMP được thiết kế để có thể mở rộng các chức năng quản lý, giám sát Không

có giới hạn rằng SNMP có thể quản lý được cái gì Khi có một thiết bị mới với cácthuộc tính, tính năng mới thì người ta có thể thiết kế “custom” SNMP để phục vụ choriêng mình

SNMP được thiết kế để có thể hoạt động độc lập với các kiến trúc và cơ chế củacác thiết bị hỗ trợ SNMP Các thiết bị khác nhau có hoạt động khác nhau nhưng đápứng SNMP là giống nhau VD bạn có thể dùng 1 phần mềm để theo dõi dung lượng ổcứng còn trống của các máy chủ chạy HĐH Windows và Linux; trong khi nếu khôngdùng SNMP mà làm trực tiếp trên các HĐH này thì bạn phải thực hiện theo cáccách khác nhau

1.5.1.2 Các phiên bản của SNMP

SNMP có 4 phiên bản: SNMPv1, SNMPv2c, SNMPv2u và SNMPv3 Các phiênbản này khác nhau một chút ở định dạng bản tin và phương thức hoạt động Hiện tạiSNMPv1 là phổ biến nhất do có nhiều thiết bị tương thích nhất và có nhiều phần mềm

hỗ trợ nhất Trong khi đó chỉ có một số thiết bị và phần mềm hỗ trợ SNMPv3

- SNMP version 1: chuẩn của giao thức SNMP được định nghĩa trong RFC 1157

và là một chuẩn đầy đủ của IETF Vấn đề bảo mật của SNMPv1 dựa trên nguyên tắccộng đồng, không có nhiều password, chuỗi văn bản thuần và cho phép bất kỳ một ứngdụng nào đó dựa trên SNMP có thể hiểu các chuỗi này để có thể truy cập vào các thiết

bị quản lý Có 3 tiêu chuẩn trong: read-only, read-write và trap

- SNMP version 2: phiên bản này dựa trên các chuỗi “community” Do đó phiênbản này được gọi là SNMPv2c, được định nghĩa trong RFC 1905, 1906, 1907 và đâychỉ là bản thử nghiệm của IETF Mặc dù chỉ là thử nghiệm nhưng nhiều nhà sản xuất

đã đưa nó vào thực nghiệm

- SNMP version 3: là phiên bản tiếp theo được IETF đưa ra bản đầy đủ (phiênbản gần đây của SNMP), đóng vai trò an ninh cao trong quản trị mạng và đóng vai tròmạnh trong vấn đề thẩm quyền, quản lý kênh truyền riêng giữa các thực thể Nó đượckhuyến nghị làm bản chuẩn, được định nghĩa trong RFC 1905, RFC 1906, RFC 1907,RFC 2271 RFC 2571, RFC 2572, RFC 2573, RFC 2574 và RFC 2575 Nó hỗ trợ cácloại truyền thông riêng tư và có xác nhận giữa các thực thể

Hình 1.3 Trạm quản lý mạng [4]

Phần tử mạng là các thiết bị, máy tính, hoặc phần mềm tương thích SNMP

và được quản lý bởi trạm quản lý mạng Như vậy phẩn tử bao gồm thiết bị, máy trạm

và ứng dụng

Một trạm quản lý có thể quản lý nhiều phần tử, một phần tử cũng có thể đượcquản lý bởi nhiều trạm Vậy nếu một phần tử được quản lý bởi 2 trạm thì điều gì sẽxảy ra? Nếu trạm lấy thông tin từ phần tử thì cả 2 trạm sẽ có thông tin giống nhau.Nếu 2 trạm tác động đến cùng một phần tử thì phần tử sẽ đáp ứng cả 2 tác động theothứ tự cái nào đến trước

Ngoài ra còn có khái niệm SNMP agent SNMP agent là một tiến trình chạy

trên phần từ mạng, có nhiệm vụ cung cấp thông tin của phần tử cho trạm, nhờ đótrạm có thể quản lý được phần tử [2] Chính xác hơn là ứng dụng chạy trên trạm vàagent chạy trên phần tử mới là 2 tiến trình SNMP trực tiếp liên hệ với nhau Các ví dụminh họa sau đây sẽ làm rõ hơn các khái niệm này:

- Để dùng một máy chủ quản lý các máy con chạy HĐH Windows thông quaSNMP thì phải: cài đặt một phần mềm quản lý SNMP trên máy chủ, bật dịch

vụ SNMP trên máy con

Để dùng một máy chủ giám sát lưu lượng của một router thì phải: cài phần

mềm quản lý SNMP trên máy chủ, bật tính năng SNMP trên router

Hình 1.4 Giám sát lưu lượng của một router [1]

1.5.2.2 Object ID

Một thiết bị hỗ trợ SNMP có thể cung cấp nhiều thông tin khác nhau, mỗi thông

tin đó gọi là một object Ví dụ:

- Máy tính có thể cung cấp các thông tin: tổng số ổ cứng, tổng số port nối mạng,tổng số byte đã truyền/nhận, tên máy tính, tên các tiến trình đang chạy, …

- Router có thể cung cấp các thông tin: tổng số card, tổng số port, tổng số byte đãtruyền/nhận, tên router, tình trạng các port của router, ….Mỗi object có một tên gọi và

một mã số để nhận dạng object đó, mã số gọi là Object ID (OID) VD:

- Tên thiết bị được gọi là sysName, OID là 1.3.6.1.2.1.1.5.[5]

- Tổng số port giao tiếp (interface) được gọi là ifNumber, OID là 1.3.6.1.2.1.2.1

- Địa chỉ Mac Address của một port được gọi là ifPhysAddress, OID là1.3.6.1.2.1.2.2.1.6

- Số byte đã nhận trên một port được gọi là ifInOctets, OID là 1.3.6.1.2.1.2.2.1.10

Từng chữ số trong OID sẽ được giải thích trong phần sau Một object chỉ có mộtOID, chẳng hạn tên của thiết bị là một object Tuy nhiên nếu một thiết bị lại cónhiều tên thì làm thế nào để phân biệt? Lúc này người ta dùng thêm 1 chỉ số gọi là

“scalar instance index” (cũng có thể gọi là “sub-id”) đặt ngay sau OID Ví dụ:

- Tên thiết bị được gọi là sysName, OID là 1.3.6.1.2.1.1.5; nếu thiết bị có 2 tên thìchúng sẽ được gọi là sysName.0 & sysName.1 và có OID lần lượt là 1.3.6.1.2.1.1.5.0

& 1.3.6.1.2.1.1.5.1

- Địa chỉ Mac address được gọi là ifPhysAddress, OID là 1.3.6.1.2.1.2.2.1.6; nếuthiết bị có 2 mac address thì chúng sẽ được gọi là ifPhysAddress.0 &ifPhysAddress.1 và có OID lần lượt là 1.3.6.1.2.1.2.2.1.6.0 & 1.3.6.1.2.1.2.2.1.6.1

- Tổng số port được gọi là ifNumber, giá trị này chỉ có 1 (duy nhất) nên OID của

nó không có phân cấp con và vẫn là 1.3.6.1.2.1.2.1

Ở hầu hết các thiết bị, các object có thể có nhiều giá trị thì thường được viếtdưới dạng có sub-id VD một thiết bị dù chỉ có 1 tên thì nó vẫn phải có OID làsysName.0 hay 1.3.6.1.2.1.1.5.0 Cần nhớ quy tắc này để ứng dụng trong lập trìnhphần mềm SNMP manager

Sub-id không nhất thiết phải liên tục hay bắt đầu từ 0 VD một thiết bị có 2 macaddress thì có thể chúng được gọi là ifPhysAddress.23 và ifPhysAddress.125645.OID của các object phổ biến có thể được chuẩn hóa, OID của các object do bạntạo ra thì bạn phải tự mô tả chúng Để lấy một thông tin có OID đã chuẩn hóa thìSNMP application phải gửi một bản tin SNMP có chứa OID của object đó cho SNMPagent, SNMP agent khi nhận được thì nó phải trả lời bằng thông tin ứng với OID đó.VD: Muốn lấy tên của một PC chạy Windows, tên của một PC chạy Linux hoặctên của một router thì ứng dụng SNMP chỉ cần gửi bản tin có chứa OID là

1.3.6.1.2.1.1.5.0 Khi SNMP agent chạy trên PC Windows, PC Linux hay routernhận được bản tin có chứa OID 1.3.6.1.2.1.1.5.0, agent lập tức hiểu rằng đây là bản tinhỏi sysName.0, và agent sẽ trả lời bằng tên của hệ thống Nếu SNMP agent nhậnđược một OID mà nó không hiểu (không hỗ trợ) thì nó sẽ không trả lời.

Hình 1.5 Hình minh họa quá trình lấy SysName [5]

Một trong các ưu điểm của SNMP là nó được thiết kế để chạy độc lập với cácthiết bị khác nhau Chính nhờ việc chuẩn hóa OID mà ta có thể dùng một SNMPapplication để lấy thông tin các loại device của các hãng khác nhau

1.5.2.4 Cơ sở thông tin quản lý (MIB)

MIB (Management Information Base) là một cấu trúc dữ liệu gồm các đối tượngđược quản lý (managed object), được dùng cho việc quản lý các thiết bị chạy trên nềnTCP/IP MIB là kiến trúc chung mà các giao thức quản lý trên TCP/IP nên tuân theo,trong đó có SNMP MIB được thể hiện thành 1 file (MIB file), và có thể biểu diễnthành 1 cây (MIB tree) MIB có thể được chuẩn hóa hoặc tự tạo

Hình 1.6 Minh họa MIB tree [4]

Một node trong cây là một object, có thể được gọi bằng tên hoặc id

Ví dụ: Node iso.org.dod.internet.mgmt.mib-2.system có OID là 1.3.6.1.2.1.1,chứa tất cả các object lien quan đến thông tin của một hệ thống như tên của thiết bị(iso.org.dod.internet.mgmt.mib-2.system.sysNam hay 3.6.1.2.1.1.5).

Các OID của các hãng tự thiết kế nằm dưới iso.org.dod.internet.private.enterprise

Ví dụ: Cisco nằm dưới iso.org.dod.internet.private.enterprise.cisco hay1.3.6.1.4.1.9, Microsoft nằm dưới iso.org.dod.internet.private.enterprise.microsoft hay1.3.6.1.4.1.311 Số 9 (Cisco) hay 311 (Microsoft) là số dành riêng cho các công ty doIANA cấp Nếu Cisco hay Microsoft chế tạo ra một thiết bị nào đó, thì thiết bị này cóthể hỗ trợ các MIB chuẩn đã được định nghĩa sẵn (như mib-2) hay hỗ trợ MIB đượcthiết kế riêng Các MIB được công ty nào thiết kế riêng thì phải nằm bên dưới OIDcủa công ty đó

Các objectID trong MIB được sắp xếp thứ tự nhưng không phải là liên tục,khi biết một OID thì không chắc chắn có thể xác định được OID tiếp theo trongMIB VD trong chuẩn mib-2 (MIB-2 được mô tả trong “RFC1213 - ManagementInformation Base for Network Management of TCP/IP-based internets: MIB-II”) thìobject ifSpecific và object atIfIndex nằm kề nhau nhưng OID lần lượt là1.3.6.1.2.1.2.2.1.22 và 1.3.6.1.2.1.3.1.1.1

Muốn hiểu được một OID nào đó thì bạn cần có file MIB mô tả OID đó MộtMIB file không nhất thiết phải chứa toàn bộ cây ở trên mà có thể chỉ chứa mô tả chomột nhánh con Bất cứ nhánh con nào và tất cả lá của nó đều có thể gọi là một mib

Một manager có thể quản lý được một device chỉ khi ứng dụng SNMP manager

và ứng dụng SNMP agent cùng hỗ trợ một MIB Các ứng dụng này cũng có thể hỗ trợcùng lúc nhiều MIB

1.5.3 Các phương thức của SNMP

Giao thức SNMPv1 có 5 phương thức hoạt động, tương ứng với 5 loại bản tinnhư sau:

Bản tin/phương thức Mô tả tác dụng

GetRequest Manager gửi GetRequest cho agent để yêu cầu agent

cung cấp thông tinGetNextRequest

Manager gửi GetNextRequest có chứa mộtObjectID cho agent để yêu cầu cung cấp thông tin nằm

kế tiếp ObjectID đó trong MIB

SetRequest Manager gửi SetRequest cho agent để đặt giá trị cho

đối tượng của agent dựa vào ObjectID

GetResponse Agent gửi GetResponse cho Manager để trả lời khi

nhận được

Trap Agent tự động gửi Trap cho Manager khi có một sự

kiện xảy ra đối với một

Mỗi bản tin đều có chứa OID để cho biết object mang trong nó là gì OID trongGetRequest cho biết nó muốn lấy thông tin của object nào OID trong GetResponsecho biết nó mang giá trị của object nào OID trong SetRequest chỉ ra nó muốn thiết lậpgiá trị cho object nào OID trong Trap chỉ ra nó thông báo sự kiện xảy ra đối với objectnào

1.5.3.1 GetRequest

Bản tin GetRequest được manager gửi đến agent để lấy một thông tin nào đó.Trong GetRequest có chứa OID của object muốn lấy VD: Muốn lấy thông tin tên của

Device1 thì manager gửi bản tin GetRequest OID = 1.3.6.1.2.1.1.5 đến Device1, tiếntrình SNMP agent trên Device1 sẽ nhận được bản tin và tạo bản tin trả lời.

Trong một bản tin GetRequest có thể chứa nhiều OID, nghĩa là dùng mộtGetRequest có thể lấy về cùng lúc nhiều thông tin

1.5.3.2 GetNextRequest

Bản tin GetNextRequest cũng dùng để lấy thông tin và cũng có chứa OID, tuynhiên nó dùng để lấy thông tin của object nằm kế tiếp object được chỉ ra trong bản tin.Tại sao phải có phương thức GetNextRequest? Như đã biết khi đọc qua nhữngphần trên: một MIB bao gồm nhiều OID được sắp xếp thứ tự nhưng không liên tục,nếu biết một OID thì không xác định được OID kế tiếp Do đó ta cần GetNextRequest

để lấy về giá trị của OID kế tiếp Nếu thực hiện GetNextRequest liên tục thì ta sẽ lấyđược toàn bộ thông tin của agent

1.5.3.4 GetResponse

Mỗi khi SNMP agent nhận được các bản tin GetRequest, GetNextRequest haySetRequest thì nó sẽ gửi lại bản tin GetResponse để trả lời Trong bản tin GetResponse

có chứa OID của object được request và giá trị của object đó

Tuy nhiên không phải mọi biến cố đều được agent gửi trap, cũng không phảimọi agent đều gửi trap khi xảy ra cùng một biến cố Việc agent gửi hay khônggửi trap cho biến cố nào là do hãng sản xuất device/agent quy định

Phương thức trap là độc lập với các phương thức request/response SNMPrequest/response dùng để quản lý còn SNMP trap dùng để cảnh báo Nguồn gửi trap

gọi là Trap Sender và nơi nhận trap gọi là Trap Receiver Một trap sender có thể được

cấu hình để gửi trap đến nhiều trap receiver cùng lúc

Có 2 loại trap: trap phổ biến (generic trap) và trap đặc thù (specific trap).Generic trap được quy định trong các chuẩn SNMP, còn specific trap do người dùng

tự định nghĩa (người dùng ở đây là hãng sản xuất SNMP device) Loại trap là một sốnguyên chứa trong bản tin trap, dựa vào đó mà phía nhận trap biết bản tin trap cónghĩa gì

Theo SNMPv1, generic trap có 7 loại sau: coldStart(0), warmStart(1),linkDown(2), linkUp(3), authenticationFailure(4), egpNeighborloss(5),enterpriseSpecific(6) Giá trị trong ngoặc là mã số của các loại trap Ý nghĩa của cácbản tin generic-trap như sau:

- ColdStart: thông báo rằng thiết bị gửi bản tin này đang khởi động lại(reinitialize) và cấu hình của nó có thể bị thay đổi sau khi khởi động.

- WarmStart: thông báo rằng thiết bị gửi bản tin này đang khởi động lại và giữnguyên cấu hình cũ

- LinkDown: thông báo rằng thiết bị gửi bản tin này phát hiện được một trongnhững kết nối truyền thông (communication link) của nó gặp lỗi Trong bản tin trap cótham số chỉ ra ifIndex của kết nối bị lỗi

- LinkUp: thông báo rằng thiết bị gửi bản tin này phát hiện được một trongnhững kết nối truyền thông của nó đã khôi phục trở lại Trong bản tin trap có tham sốchỉ ra ifIndex của kết nối được khôi phục

- AuthenticationFailure: thông báo rằng thiết bị gửi bản tin này đã nhận đượcmột bản tin không được chứng thực thành công (bản tin bị chứng thực không thànhcông có thể thuộc nhiều giao thức khác nhau như telnet, ssh, snmp, ftp, …) Thôngthường trap loại này xảy ra là do user đăng nhập không thành công vào thiết bị

- EgpNeighborloss: thông báo rằng một trong số những “EGP neighbor” (EGP :Exterior Gateway Protocol ) của thiết bị gửi trap đã bị coi là down và quan hệ đối tác(peer relationship) giữa 2 bên không còn được duy trì

- EnterpriseSpecific: thông báo rằng bản tin trap này không thuộc các kiểugeneric như trên mà nó là một loại bản tin do người dùng tự định nghĩa

Người dùng có thể tự định nghĩa thêm các loại trap để làm phong phú thêm khảnăng cảnh báo của thiết bị như: boardFailed, configChanged, powerLoss,cpuTooHigh, v.v… Người dùng tự quy định ý nghĩa và giá trị của các specific trapnày, và dĩ nhiên chỉ những trap receiver và trap sender hỗ trợ cùng một MIB mới cóthể hiểu ý nghĩa của specific trap Do đó nếu bạn dùng một phần mềm trap receiver bất

kỳ để nhận trap của các trap sender bất kỳ, bạn có thể đọc và hiểu các generic trap khichúng xảy ra; nhưng bạn sẽ không hiểu ý nghĩa các specific trap khi chúng hiện lênmàn hình vì bản tin trap chỉ chứa những con số.

Hình 1.7 hình minh họa các phương thức của SNMPv1 [4]

Đối với các phương thức Get/Set/Response thì SNMP Agent lắng nghe ở portUDP 161, còn phương thức trap thì SNMP Trap Receiver lắng nghe ở port UDP 162

1.5.4 Các cơ chế bảo mật SNMP

Một SNMP management station có thể quản lý/giám sát nhiều SNMP element,thông qua hoạt động gửi request và nhận trap Tuy nhiên một SNMP element có thểđược cấu hình để chỉ cho phép các SNMP management station nào đó được phép quảnlý/giám sát mình

Các cơ chế bảo mật đơn giản này gồm có: community string, view và SNMP

access control list.

1.5.4.1 Community String

Community string là một chuỗi ký tự được cài đặt giống nhau trên cả SNMPmanager và SNMP agent, đóng vai trò như “mật khẩu” giữa 2 bên khi trao đổi dữ liệu

Community string có 3 loại: Read-community, Write-Community và Community.

Trap-Khi manager gửi GetRequest, GetNextRequest đến agent thì trong bản tin gửi đi

có chứa Read- Community Khi agent nhận được bản tin request thì nó sẽ so sánhRead-community do manager gửi và Read-community mà nó được cài đặt Nếu 2chuỗi này giống nhau, agent sẽ trả lời; nếu 2 chuỗi này khác nhau, agent sẽ không trảlời

Write-Community được dùng trong bản tin SetRequest Agent chỉ chấp nhận thayđổi dữ liệu khi write- community 2 bên giống nhau

Trap-community nằm trong bản tin trap của trap sender gửi cho trap receiver Trapreceiver chỉ nhận và lưu trữ bản tin trap chỉ khi trap-community 2 bên giống nhau,tuy nhiên cũng có nhiều trap receiver được cấu hình nhận tất cả bản tin trap mà khôngquan tâm đến trap-community

Community string có 3 loại như trên nhưng cùng một loại có thể có nhiều stringkhác nhau Nghĩa là một agent có thể khai báo nhiều read-community, nhiều write-community

Trên hầu hết hệ thống, read-community mặc định là “public”, write-communitymặc định là “private” và trap-community mặc định là “public”

Community string chỉ là chuỗi ký tự dạng cleartext, do đó hoàn toàn có thể bịnghe lén khi truyền trên mạng Hơn nữa, các community mặc định thường là “public”

và “private” nên nếu người quản trị không thay đổi thì chúng có thể dễ dàng bị dò ra.Khi community string trong mạng bị lộ, một người dùng bình thường tại một máy tínhnào đó trong mạng có thể quản lý/giám sát toàn bộ các device có cùng community màkhông được sự cho phép của người quản trị

1.5.4.2 View

Khi manager có read-community thì nó có thể đọc toàn bộ OID của agent Tuynhiên agent có thể quy định chỉ cho phép đọc một số OID có liên quan nhau, tức là chỉđọc được một phần của MIB Tập con của MIB này gọi là view, trên agent có thể địnhnghĩa nhiều view Ví dụ: agent có thể định nghĩa view interfaceView bao gồm cácOID liên quan đến interface, storageView bao gồm các OID liên quan đến lưu trữ,hay AllView bao gồm tất cả các OID

Một view phải gắn liền với một community string Tùy vào community stringnhận được là gì mà agent xử lý trên view tương ứng Ví dụ: agent định nghĩa read-community “inf” trên view interfaceView, và “sto” trên storageView; khi managergửi request lấy OID ifNumber với community là “inf” thì sẽ được đáp ứng doifNumber nằm trong interfaceView; nếu manager request OID hrStorageSize vớicommunity “inf” thì agent sẽ không trả lời do hrStorageSize không nằm tronginterfaceView; nhưng nếu manager request hrStorageSize với community “sto” thì

sẽ được trả lời do hrStorageSize nằm trong storageView

Việc định nghĩa các view như thế nào tùy thuộc vào từng SNMP agent khác nhau

Có nhiều hệ thống không hỗ trợ tính năng view

1.5.4.3 SNMP – ACL

Khi manager gửi không đúng community hoặc khi OID cần lấy lại không nằmtrong view cho phép thì agent sẽ không trả lời Tuy nhiên khi community bị lộ thì mộtmanager nào đó vẫn request được thông tin Để ngăn chặn hoàn toàn các SNMPmanager không được phép, người quản trị có thể dùng đến SNMP access controllist (ACL)

SNMP ACL là một danh sách các địa chỉ IP được phép quản lý/giám sát agent, nóchỉ áp dụng riêng cho giao thức SNMP và được cài trên agent Nếu một manager có IP

không được phép trong ACL gửi request thì agent sẽ không xử lý, dù request cócommunity string là đúng.

Đa số các thiết bị tương thích SNMP đều cho phép thiết lập SNMP ACL

+ Phần Data trong bản tin SNMP gọi là PDU (Protocol Data Unit)

SNMPv1 có 5 phương thức hoạt động tương ứng 5 loại PDU Tuy nhiên chỉ có 2loại định dạng bản tin là PDU và Trap-PDU ; trong đó các bản tin Get, GetNext, Set,GetResponse có cùng định dạng là PDU, còn bản tin Trap có định dạng là Trap-PDU

1.6 Kết luận chương