ĐẠI HỌC THÁI NGUYÊN KHOA CÔNG NGHỆ THÔNG TIN TRẦN DUY MINH GIẢI PHÁP AN NINH TRONG KIẾN TRÚC QUẢN TRỊ MẠNG SNMP Chuyên ngành: Khoa học máy tính Mã số: 60.48.01 LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Người hướng dẫn: PGS.TS Nguyễn Văn Tam MỤC LỤC CÁC THUẬT NGỮ VIẾT TẮT DANH MỤC CÁC HÌNH .4 ĐẶT VẤN ĐỀ Chương 1: TỔNG QUAN VỀ QUẢN TRỊ VÀ AN NINH THÔNG TIN TRÊN INTERNET 1.1 Giao thức dịch vụ Internet 1.1.1 Giới thiệu giao thức TCP/IP .8 1.1.2 Giao thức UDP 14 1.1.3 Giao thức TCP 16 1.2 Các mô hình quản trị mạng SNMP 19 1.2.1 Quản lý mạng Microsoft sử dụng SNMP 19 1.2.2 Quản lý mạng môi trường Java 22 1.2.3 Cơ chế quản lý mạng tập trung theo mô hình DEN 23 1.3 Vấn đề bảo đảm an ninh truyền thông Internet 25 1.3.1 Khái niệm đảm bảo an ninh truyền thông 25 1.3.2 Một số giải pháp 27 1.3.4 Các thành phần thường gặp tường lửa 27 Chương 2: GIẢI PHÁP AN NINH MẠNG SNMP 29 2.1 Giao thức quản trị mạng SNMP 29 2.1.1 Giới thiệu giao thức SNMP 30 2.1.2 SNMP Version 35 2.1.3 Hoạt động SNMP: 40 2.2 Các giải pháp xác thực thông tin quản trị 53 2.3 Giải pháp đảm bảo toàn vẹn thông tin quản trị 55 2.4 Giải pháp mã mật thông tin quản trị 56 2.4.1 Sơ lược mật mã đối xứng DES 58 2.4.2 Thuật toán bảo mật DES 59 2.4.2.1 Chuẩn bị chìa khoá: .60 2.4.2.2 Giải mã: 61 Chương 3: MÔ HÌNH THỬ NGHIỆM 63 3.1 Lựa chọn mô hình thử nghiệm 63 3.2 Phân tích trình hoạt động 65 3.2.1 Cài đặt chương trình 65 3.2.2 Phân tích trình hoạt động 70 3.3 Đánh giá hiệu mô hình 71 CÀI ĐẶT CẤU HÌNH HỆ THỐNG 72 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 76 TÀI LIỆU THAM KHẢO 77 Thái Nguyên, tháng 12/2008 CÁC THUẬT NGỮ VIẾT TẮT THUẬT NGỮ, VIẾT TẮT ARP ASN.1 BER Buffer CA CHAP Datagram DES full-duplex ICMP IETF IGMP ISN JNDI LDAP MIB MSS NAS NMS OID Packet filtering PAP PDU RADIUS RARP RAS RFC RMON Segment SGMP SMI SMTP SNMP TACACS TCP TCP/IP UDP DANH MỤC CÁC HÌNH MÔ TẢ Ý NGHĨA STT 10 11 12 13 14 15 Address Ressulation Protocol Abstract Syntax Notation Basic Encoding Rules Bộ đệm Certificate Authentication Challenge Handshake Authentication Protocol Đơn vị liệu Data Encryption Standard Cơ chế truyền song công Internet Control Message Protocol Internet Engineering Task Force Internet Group Message Protocol Initial Sequence Number Java Naming Directory Interface Lightweight Directory Access Protocol Management Information Base Maximum Segment Size Network Access Service Network Management System Object identifier Bộ lọc gói tin Password Authentication Protocol Protocol Data Unit Remote Authentication Dial-In User Service Reverse Address Ressulation Protocol Remote Access Service Requests for Comments Remote Network Monitoring Đoạn liệu Simple Gateway Management Protocol Structure of Management Information Simple Mail Transfer Protocol Simple Network Management Protocol Terminal Access Controller Access-Control System Transmission Control Protocol Transmission Control Protocol/Internet Protocol User Datagram Protocol 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 Tên hình Hình 1.1: Giao thức truyền thông máy tính Hình 1.2 Kiến trúc TCP/IP Hình 1.3: Các giao thức thuộc lớp Network Access Hình 1.4: Các giao thức lớp Internet Hình 1.5: Các giao thức thuộc lớp Transport Hình 1.6: Các giao thức thuộc lớp Application Hình 1.7: Quá trình đóng mở gói liệu TCP/IP Hình 1.8: Cấu trúc liệu TCP/IP Hình 1.9: Khuôn dạng UDP datagram Hình 1.10: Khuôn dạng TCP segment Hình 1.11: Quản lý mạng Microsoft sử dụng SNMP Hình 1.12: Các tác vụ SNMP Hình 1.13: Cách thức SNMP làm việc Hình 1.14: Quản lý mạng hỗ trợ Java Hình 1.15: Quản lý mạng qua CSDL lớp đối tượng DEN Hình 1.16:Mô hình mức bảo vệ an toàn Hình 2.1: Lưu đồ giao thức SNMP Hình 2.2: Quá trình hoạt động SNMP Hình 2.3: Mạng quản lý theo SNMP Hình 2.4 : Tổng quan kiến trúc SNMPv3 Hình 2.5: Khuôn dạng Message SNMPv3 Hình 2.6: Thực thể SNMPv3 Hình 2.7: Dịch vụ xác thức Message Outgoing Hình 2.8: Dịch vụ xác thực Message Incoming Hình 2.9: SNMP manager truyền thống Hình 2.10: Mối quan hệ NMS agent Hình 2.11: Cây đối tượng nguồn Hình 2.12: Cây đối tượng kế thừa Hình 2.13: Hoạt động SNMP Hình 2.14: Hoạt động lệnh “get” giao thức SNMP Hình 2.15: Quá trình tìm kiếm Hình 2.16: Hoạt động Set Hình 2.17: Hoạt động SNMP Trap Hình 2.18: Mô hình an ninh mạng Hình 2.19: Quá trình mã mật thông tin Hình 2.20: Mô hình DES Trang 10 11 12 13 14 15 17 19 20 21 22 24 27 30 30 32 35 36 37 37 38 39 40 42 43 44 45 47 48 50 54 55 56 STT 37 38 39 40 41 42 43 44 45 46 37 Tên hình Hình 3.1: Enable SNMP Router ADSL ZoomX5, X6 Hình 3.2: Cài đặt SNMP ADSL Dlink-D520T Hình 3.3: Hộp thoại Welcome to PRTG Traffic Grapher Hình 3.4: Giao diện PRTG Traffic Grapher Hình 3.5: Chọn giao thức SNMP Hình 3.6: Chọn chuẩn Sensor Hình 3.7: Lựa chọn IP version Hình 3.8: Chọn Sensor Hình 3.9: Giao diện Sensor Monitoring Hình 3.10: Cấu trúc Probe Hình 3.11: Quá trình gom nhóm Probe Trang ĐẶT VẤN ĐỀ 63 63 64 64 65 66 66 67 68 69 70 Công nghệ mạng Internet/Intranet phát triển mạnh mẽ xu hướng tích hợp mạng không đồng để chia sẻ thông tin xuất ngày nhiều Việc bảo đảm hệ thống mạng phức tạp, có quy mô lớn hoạt động tin cậy, hiệu cao, thông tin tin cậy đòi hỏi phải phải có hệ quản trị mạng để thu thập phân tích số lượng lớn liệu cách hiệu Tuy nhiên, thông tin quản trị mạng lại phải truyền môi truờng Internet, bị thất thoát, thay đổi hay giả mạo cần phải bảo vệ Các phiên SNMPv1 SNMPv2 đưa giải pháp xác thực yếu dựa cộng đồng (community) Chính vậy, việc nghiên cứu giải pháp bảo đảm tính xác thực, tính toàn vẹn, tính mật thông điệp quản trị mạng cần thiết Phiên SNMPv3 đời nhằm đáp ứng phần yêu cầu cấp bách Tuy nhiên, việc lựa chọn mô hình thực thi nhiều vấn đề cần giải Tôi chọn hướng nghiên cứu mong muốn đóng góp, xây dựng thử nghiệm vào mô hình cụ thể qua đánh giá khả triển khai thực tế hệ thống quản trị mạng có độ an ninh cao Khuôn khổ luận văn bao gồm chương: Chương 1: Tổng quan quản trị an ninh thông tin Internet Chương 2: Nghiên cứu giải pháp an ninh mạng SNMP Chương 3: Xây dựng mô hình thử nghiệm Em xin chân thành cảm ơn nhiệt tình giúp đỡ thầy giáo PGS.TS Nguyễn Văn Tam giúp em hoàn thành luận văn Người thực Trần Duy Minh Các luật mạng tạo trì nhiều tổ chức hiệp Chương 1: TỔNG QUAN VỀ QUẢN TRỊ VÀ AN NINH THÔNG TIN TRÊN INTERNET hội khác Bao gồm nhóm IEEE, ANSI, TIA/EIA 1.1 Giao thức dịch vụ Internet Bộ giao thức tập hợp giao thức cho phép truyền thông mạng từ host thông qua mạng đến host khác Giao thức mô tả hình thức tập luật tiêu chuẩn khống chế khía cạnh đặc biệt hoạt động thông tin thiết bị mạng Giao thức xác định dạng thức, định thời, kiểm soát lỗi hoạt động truyền số liệu Không có giao thức, máy tính tạo hay tái tạo luồng bít đến từ máy tính khác sang dạng ban đầu Các giao thức điều khiển tất khía cạnh hoạt động truyền số liệu, bao gồm: ITU-T (trước CCITT) 1.1.1 Giới thiệu giao thức TCP/IP Giao thức TCP/IP (Transmission Control Protocol/Internet Protocol) giao thức cho phép kết nối hệ thống mạng không đồng với Ngày TCP/IP sử dụng rộng rãi mạng cục Internet toàn cầu TCP/IP xem giản lược mô hình tham chiếu OSI với tầng sau: + Tầng liên kết mạng (Network Access Layer) + Tầng Internet (Internet Layer) - Mạng vật lý xây dựng + Tầng giao vận (Host-To-Host Transport Layer) - Các máy tính kết nối đến mạng + Tầng ứng dụng (Application Layer) - Số liệu định dạng để truyền - Số liệu truyền Applications Applications Transport TCP/UDP - Đối phó với lỗi Nguồn Đích ICMP L Internetwork L M IP ARP/RARP M N N Network Interface and Hardware Đường truyền vật lý Network Interface and Hardware Hình 1.2 Kiến trúc TCP/IP Tầng liên kết: Tầng liên kết (còn gọi tầng liên kết liệu L, M, N Msource, Mdestination M layer Protocol Các lớp mô hình truyền thông Các lớp ngang hàng Truyền thông ngang hàng Các nguyên tắc thông tin Msource Mdestination tầng giao tiếp mạng) tầng thấp mô hình TCP/IP, bao gồm thiết bị giao tiếp mạng chương trình cung cấp thông tin cần thiết để hoạt động, truy nhập đường truyền vật lý qua thiết bị giao tiếp mạng Hình 1.1: Giao thức truyền thông máy tính Nó bao gồm chi tiết công nghệ LAN, WAN tất chi tiết chứa lớp vật lý lớp liên kết số liệu mô hình OSI Application Lớp liên kết định thủ tục để giao tiếp với phần cứng mạng truy nhập môi trường truyền Các tiêu chuẩn giao thức modem SLIP (Serial Line Internet Protocol) PPP (Point-To-Point Protocol) cung cấp Transport truy xuất mạng thông qua kết nối dùng modem Internet Protocol (IP) Internet Control Message Protocol (ICMP) Address Ressulation Protocol (ARP) Reverse Address Ressulation Protocol (RARP) Internet Application Network Access Transport Hình 1.4: Các giao thức lớp Internet Internet Network Access - Ethernet - Fast Ethernet - SLIP PPP - FDDI - ATM, Frame Relay SMDS - ARP - Proxy ARP - RARP - IP cung cấp conectionless, định tuyến chuyển phát gói theo besteffort IP không quan tâm đến nội dung gói tìm kiếm đường dẫn cho gói tới đích - ICMP (Internet Control Message Protocol): đem đến khả điều Hình 1.3: Các giao thức thuộc lớp Network Access khiển chuyển thông điệp Chức lớp truy nhập mạng bao gồm ánh xạ địa IP sang địa vật lý đóng gói (encapsulation) gói IP thành frame Căn vào dạng phần cứng giao tiếp mạng, lớp truy nhập mạng xác lập kết - ARP (Address Ressulation Protocol): xác định địa lớp liên kết số liệu (MAC address) biết trước địa IP - RARP (Reverse Address Ressulation Protocol): xác định địa nối với đường truyền vật lý mạng IP biết trước địa MAC Tầng Internet: Tầng Internet (còn gọi tầng mạng) xử lý qua trình truyền IP thực hoạt động sau: gói tin mạng Các giao thức tầng bao gồm: IP (Internet + Định nghĩa gói lược đồ đánh địa Protocol), ICMP (Internet Control Message Protocol), IGMP (Internet + Trung chuyển số liệu lớp Internet lớp truy nhập mạng Group Message Protocol) Mục đích lớp Internet chọn lấy đường + Định tuyến chuyển gói đến host xa dẫn tốt xuyên qua mạng cho gói di chuyển tới đích Giao thức Tầng giao vận: Tầng giao vận phụ trách luồng giữ liệu hai trạm thực hoạt động lớp Internet Protocol Sự xác định đường dẫn tốt ứng dụng tầng Tầng có hai giao thức chính: TCP mạch chuyển gói diễn lớp (Transmission Protocol), UDP (User Datagram Protocol) 10 TCP cung cấp luồng liệu tin cậy hai trạm, sử dụng chế chia nhỏ gói tin tầng thành gói tin có kích thước Application thích hợp cho tầng mạng bên dưới, báo nhận gói tin, đặt hạn chế thời gian File Transfer  TFTP*  FTP*  NFS time-out để đảm bảo bên nhận biết gói tin chuyển Do tầng Email đảm bảo tính tin cậy, tầng không cần quan tâm đến Transport UDP cung cấp dịch vụ đơn giản cho tầng ứng dụng, Internet gửi gói tin liệu từ trạm tới trạm mà không đảm bảo gói tin đến tới đích Các chế đảm bảo độ tin cậy cần thực Network Access tầng  SMTP Remote login  Telnet*  rlogin Network Management  SNMP* Hình 1.6: Các giao thức thuộc lớp Application Ý nghĩa số dịch vụ: Application + File Transfer Protocol (FTP): dịch vụ có tạo cầu nối Transport Transmission Control Protocol (TCP) Conection – Oriented (conection - oriented) tin cậy, sử dụng TCP để truyền tệp tin User Datagram Protocol (UDP) file ASCII hệ thống có hỗ trợ FTP Nó hỗ trợ truyền file nhị phân hai chiều tải Internet + Trivial File Transfer Protocol (TFTP): dịch vụ không tạo cầu nối (conectionless) dùng giao thức UDP TFTP dùng router để Network Access truyền file cấu hình Cisco IOS image để truyền file hệ thống hỗ trợ TFTP Nó hữu dụng vài LAN hoạt động Hình 1.5: Các giao thức thuộc lớp Transport nhanh FTP môi trường ổn định Tầng ứng dụng: Tầng ứng dụng tầng mô hình TCP/IP bao gồm tiến trình ứng dụng cung cấp cho người sử dụng để truy cập mạng Lớp ứng dụng mô hình TCP/IP kiểm soát giao thức lớp cao, chủ đề trình bày, biểu diễn thông tin, mã hóa điều khiển hội thoại Có nhiều ứng dụng cung cấp tầng này, mà phổ biến là: Telnet sử dụng mạng truy cập từ xa, FTP (File Transfer Protocol) dịch vụ truyền tệp, Email – dịch vụ thư tín điện tử, WWW (World Wide + Network File System (NFS): giao thức hệ thống file phân tán phát triển Sun Microsystem cho phép truy xuất file đến thiết bị lưu trữ xa đĩa cứng qua mạng + Simple Mail Transfer Protocol (SMTP): quản lý hoạt động truyền e-mail qua mạng máy tính + Terminal emulation (Telnet): cung cấp khả truy nhập từ xa vào máy tính, thiết bị khác Web) 11 12 + Simple Network Management Protocol (SNMP): giao thức Cũng tương tự mô hình OSI, truyền liệu, trình cung cấp phương pháp để giám sát điều khiển thiết bị mạng để tiến hành từ tầng xuống tầng dưới, qua tầng liệu thêm vào quản lý cấu hình, thu thập thống kê, hiệu suất bảo mật thông tin điều khiển gọi phần header Khi nhận liệu + Domain Name System (DNS): hệ thống dùng trình xảy ngược lại, liệu truyền từ tầng lên qua tầng Internet để thông dịch tên miền (domain) node mạng phần header tương ứng lấy đến tầng liệu quảng cáo công khai sang địa IP không phần header Hình 1.8 cho ta thấy lược đồ liệu qua * Quá trình đóng mở gói liệu TCP/IP tầng Trong hình 1.8 ta thấy tầng khác liệu mang Cũng mô hình OSI, mô hình kiến trúc TCP/IP tầng có thuật ngữ khác nhau: cấu trúc liệu riêng, độc lập với cấu trúc liệu dùng tầng − Trong tầng ứng dụng liệu luồng gọi stream hay tầng kề Khi liệu truyền từ tầng ứng dụng − Trong tầng giao vận, đơn vị liệu mà TCP gửi xuống tầng tầng vật lý, qua tầng thêm phần thông tin điều khiển (Header) đặt trước phần liệu truyền, đảm bảo cho việc truyền liệu xác Việc thêm thông tin điều khiển vào đầu gói tin qua tầng trình truyền liệu gọi trình đóng gói Quá trình nhận gọi TCP segment − Trong tầng mạng, liệu mà IP gửi tới tầng gọi IP datagram − Trong tầng liên kết, liệu truyền gọi frame liệu diễn theo chiều ngược lại, qua tầng, gói tin tách Application Layer thông tin điều khiển thuộc trước chuyển liệu lên tầng Transport Layer Internet Layer Network Access Layer TCP Stream UDP Message Segment Packet Datagram Datagram Frame Frame Hình 1.8: Cấu trúc liệu TCP/IP 1.1.2 Giao thức UDP UDP giao thức không liên kết chồng giao thức TCP/IP, cung cấp dịch vụ giao vận không tin cậy, sử dụng thay cho TCP tầng Hình 1.7: Quá trình đóng mở gói liệu TCP/IP giao vận Khác với TCP, UDP chức thiết lập giải phóng liên kết, chế báo nhận (ACK), không xếp đơn vị 13 14 liệu (datagram) đến dẫn đến tình trạng trùng liệu mà thông báo lỗi cho người gửi Khuôn dạng đơn vị liệu 1.1.3 Giao thức TCP TCP UDP giao thức tầng giao vận sử dụng giao thức UDP mô tả sau: IP tầng mạng Nhưng không giống UDP, TCP cung cấp hoạt động truyền liệu song công hoàn toàn (full-duplex) tin cậy có liên kết Bits 16 31 Source Port Destination Port Length Checksum Có liên kết có nghĩa ứng dụng sử dụng TCP phải thiết lập liên kết với trước trao đổi liệu Sự tin cậy dịch vụ cung cấp TCP thể sau: − Dữ liệu từ tầng ứng dụng gửi đến TCP chia thành đoạn Data begins here … (segment) có kích thước phù hợp để truyền Hình 1.9: Khuôn dạng UDP datagram − Số hiệu cổng nguồn (Source Port - 16 bit): số hiệu cổng nơi gửi − Khi TCP gửi đoạn, trì thời lượng để chờ phúc đáp từ trạm nhận Nếu khoảng thời gian phúc đáp không tới trạm gửi liệu − Số hiệu cổng đích (Destination Port - 16 bit): số hiệu cổng nơi đoạn truyền lại − Khi TCP trạm nhận nhận liệu từ trạm gửi gửi tới trạm liệu chuyển tới − Độ dài UDP (Length - 16 bit): độ dài tổng cổng kể phần header gửi phúc đáp nhiên phúc đáp không gửi lại mà thường trễ khoảng thời gian gói liệu UDP − UDP Checksum (16 bit): dùng để kiểm soát lỗi, phát lỗi − TCP trì giá trị tổng kiểm tra (checksum) phần Header đơn vị liệu UDP bị loại bỏ mà thông báo trả lại cho liệu để nhận thay đổi trình truyền dẫn Nếu trạm gửi đoạn bị lỗi TCP phía trạm nhận loại bỏ không phúc đáp lại để trạm gửi truyền lại đoạn bị lỗi Các giao thức dùng UDP gồm: Giống đơn vị liệu IP, đoạn TCP tới đích  TFTP (Trivial File Transfer Protocol) cách không Do TCP trạm nhận xếp lại liệu  SNMP (Simple Network Management Protocol) sau gửi lên tầng ứng dụng đảm bảo tính đắn liệu  DHCP (Dynamic Host Control Protocol) Khi liệu IP bị trùng lặp TCP trạm nhận loại bỏ liệu trùng  DNS (Domain Name System) UDP có chế độ gán quản lý số hiệu cổng (port number) để định lặp danh cho ứng dụng chạy trạm mạng Do có chức phức tạp nên UDP có xu hoạt động nhanh so với TCP Nó thường dùng cho ứng dụng không đòi hỏi độ tin cậy cao giao vận 15 16 − Control bits : bit điều khiển URG : xác định vùng trỏ khẩn có hiệu lực ACK : vùng báo nhận ACK Number có hiệu lực PSH : chức PUSH RST : khởi động lại liên kết SYN : đồng hoá số hiệu (Sequence number) FIN : không liệu từ trạm nguồn Hình 1.10: Khuôn dạng TCP segment TCP cung cấp khả điều khiển luồng Mỗi đầu liên kết TCP có vùng đệm (buffer) giới hạn TCP trạm nhận cho phép − Window size (16 bits): cấp phát thẻ để kiểm soát luồng liệu (cơ chế cửa sổ trượt) Đây số lượng byte liệu byte trạm gửi truyền lượng liệu định (nhỏ không gian đệm vùng ACK number mà trạm nguồn sẵn sàng nhận lại) Điều tránh xảy trường hợp trạm có tốc độ cao chiếm toàn − Checksum (16 bits) Mã kiểm soát lỗi cho toàn segment phần header liệu vùng đệm trạm có tốc độ chậm − Urgent Pointer (16 bits) Con trỏ trỏ tới số hiệu byte cuối Khuôn dạng đoạn TCP mô tả hình 1.10 dòng liệu khẩn cho phép bên nhận biết độ dài liệu Các tham số khuôn dạng có ý nghĩa sau: − Source Port (16 bits ) số hiệu cổng trạm nguồn khẩn Vùng có hiệu lực bit URG thiết lập − Destination Port (16 bits ) số hiệu cổng trạm đích − Option (độ dài thay đổi) Khai báo tuỳ chọn TCP thông − Sequence Number (32 bits) số hiệu byte đoạn trừ thường kích thước cực đại segment: MSS (Maximum Segment bit SYN thiết lập Nếu bit SYN thiết lập sequence number số hiệu khởi đầu ISN (Initial Sequence Number ) byte liệu ISN + Thông qua trường TCP thực việc quản lí byte Size) − TCP data (độ dài thay đổi) Chứa liệu tầng ứng dụng có độ dài ngầm định 536 byte Giá trị điều chỉnh cách khai báo vùng tùy chọn truyền kết nối TCP − Acknowledgment Number (32 bits) Số hiệu đoạn mà Các giao thức dùng TCP bao gồm: trạm nguồn chờ để nhận ngầm định báo nhận tốt segment mà  FTP (File Transfer Protocol) trạm đích gửi cho trạm nguồn  HTTP (Hypertext Transfer Protocol) − Header Length (4 bits) Số lượng từ (32 bits) TCP header, vị trí bắt đầu vùng liệu trường Option (tùy chọn) có độ dài thay  SMTP (Simple Mail Transfer Protocol)  Telnet đổi Header length có giá trị từ 20 đến 60 byte − Reserved (6 bits) Dành để dùng tương lai 17 18 1.2 Các mô hình quản trị mạng SNMP Giao thức TCP/IP Ethernet thông dụng thị MIB MIB ` trường truyền thông Sự thành công công nghệ SNMP Agent Ethernet phần hợp tác tích cực trình phát triển SNMP PDUs PDU/IP chuẩn chung Sự thành công tạo sức mạnh SNMP PDUs PDU/IP sở hạ tầng sẵn có hệ thống cáp, kiến trúc mạng, khuôn dạng gói tin trình điều khiển vốn cài đặt mạng Ethernet có Quản lý mạng nhiệm vụ đầy thử thách, quy mô mạng lớn phức tạp Hiện nay, hầu hết phần tử mạng có module quản lý riêng nên việc quản lý bị phân tán Xu hướng tương lai tập trung hóa hệ thống quản lý mạng việc tích hợp tất phần tử mạng sở liệu tập Hình 1.11: Quản lý mạng Microsoft sử dụng SNMP - Nút quản lý máy tính, định tuyến, chuyển mạch, cầu nối, máy in thiết bị mạng khác có khả liên lạc với bên mạng Mỗi nút chạy phần mềm quản lý gọi SNMP agent Mỗi agent trì sở liệu cục biến mô tả trạng thái, lịch sử trung chia sẻ cho nhiều người quản trị mạng SNMP giao thức quản lý mạng dùng phổ biến mạng TCP/IP Sau hai mô hình quản lý mạng sử dụng giao thức tác vụ ảnh hưởng lên - Trạm quản lý chứa nhiều tiến trình liên lạc với agent mạng, phát câu lệnh nhận kết Hình 1.11 trình bày mô hình SNMP điển hình quản lý mạng Microsoft thông qua giao thức SNMP 1.2.1 Quản lý mạng Microsoft sử dụng SNMP Các mô hình quản lý mạng truyền thống chạy hệ điều hành Microsoft đa số sử dụng giao thức SNMP, chia làm thành phần: Trong hình 1.11, sở liệu MIB (Management Information Base) tập hợp tất đối tượng mạng, định biến mà phần tử mạng cần trì • Nút quản lý (managed node) Trạm quản lý (management station) tương tác với agent qua giao thức • Trạm quản lý (management station) SNMP Giao thức SNMP gồm tác vụ tác vụ mã hóa • Thông tin quản lý (management information) đơn vị liệu PDU (Protocol Data Unit) riêng biệt chuyển qua • Giao thức quản lý (management protocol) mạng giao thức UDP Đó tác vụ: • Get-request: lấy giá trị nhiều biến • Get-next-request: lấy giá trị biến • Set-request: đặt giá trị nhiều biến • Get-response: trả giá trị nhiều biến sau phát lệnh get-request get-next-request, set-request 19 20 system.sysDescr.0 = "Linux linux 2.2.5-15 #3 Thu May 27 19:33:18 EDT 1999 i686" system.sysLocation.0 = "" $ snmpset cisco.ora.com private system.sysLocation.0 s "Atlanta, GA" interfaces.ifTable.ifEntry.ifInOctets.1 = 70840 system.sysLocation.0 = "Atlanta, GA" interfaces.ifTable.ifEntry.ifOutOctets.1 = 70840 $ snmpget cisco.ora.com public system.sysLocation.0 interfaces.ifTable.ifEntry.ifInOctets.2 = 143548020 system.sysLocation.0 = "Atlanta, GA" interfaces.ifTable.ifEntry.ifOutOctets.2 = 111725152 Câu lệnh đầu dùng “get” để lấy giá trị interfaces.ifTable.ifEntry.ifInOctets.3 = “system.sysLocation” interfaces.ifTable.ifEntry.ifOutOctets.3 = “cisco.ora.com” “system.sysLocation.0” có ý nghĩa giống với “get” Ở đây, ta hỏi varbind: sysDescr, ifInOctets, ifOutOctets Tổng “private” để đối tượng “read-write”, đặt giá trị bằng: “s "Atlanta, số varbind tính theo công thức N + (M * R) N: nonrepeater, tức số GA"” “s” tức đặt giá trị “system.sysLocation.0” thành string, giá đối tượng vô hướng M: max-repeatition R: số đối tượng có hướng trị "Atlanta, GA" Varbind định nghĩa RFC 1213 yêu cầu có sysDescr vô hướng N = 1M đặt cho 3, tức kiểu string tối đa 255 ký tự: Trong câu lệnh “snmpset” trường trường cho ifInOctets ifOutOctets Có đối tượng có hướng sysLocation OBJECT-TYPE YNTAX DisplayString (SIZE (0 255)) fInOctets ifOutOctets ef R=2 Tổng số có 1+3*2 = varbind Còn trường ACCESS read-write TATUS mandatory ESCRIPTION The physical location “–v2c” “get-bulk” câu lệnh SNMPv2 nên sử dụng “-v2c” để of this node (e.g., 'telephone closet, 3rd floor')." ::= { system } Có thể cài sử dụng PDU SNMPv2 “-B 3” để đặt tham số N M cho đặt nhiều đối tượng lúc, nhiên có hành động bị lỗi, toàn lệnh bị hủy bỏ - “set”: để thay đổi giá trị đối tượng thêm hàng vào - Error Response “get”, “get-next”, “get-bulk” “set”: Có nhiều bảng Đối tượng cần phải định nghĩa MIB “read-write” loại lỗi báo lại từ agent: SNMPv1 Error Message ý nghĩa noError(0) Không hay “write-only” NMS dùng “set’ để đặt giá trị cho nhiều đối tượng có lỗi tooBig(1) Yêu cầu lớn để dồn vào câu lúc: trả lời noSuchName(2) OID yêu cầu không tìm thấy, tức không tồn agent badValue(3) Câu lệnh “set” dùng không với object “read-write” hay “write-only” readOnly(4) lỗi dùng Lỗi noSuchName” tương đương với lỗi genErr(5) dùng cho tất lỗi lại, không nằm lỗi Các loại lỗi SNMPv1 mang tính chất chung nhất, không rõ ràng Do SNMPv2 đưa thêm số loại lỗi Hình 2.16: Hoạt động Set sau: $ snmpget cisco.ora.com public system.sysLocation.0 49 50 SNMPv2 Error Message ý nghĩa noAccess(6) lỗi lệnh “set” cố Khi nhận “trap” từ agent, NMS không trả lời lại gắng xâm nhập vào biến cấm xâm nhập Khi đó, biến có trường “ACK” Do agent biết lời cảnh báo có tới “ACCESS” “not-accessible” wrongType(7) lỗi xảy lệnh “set” đặt NMS hay không Khi nhận “trap” từ agent, tìm xem “trap kiểu liệu khác với kiểu định nghĩa sẵn đối tượng Ví dụ “set” number” để hiểu ý nghĩa “trap” đó: Số tên kiểu trap định nghĩa đặt giá trị kiểu string cho đối tượng kiểu số nguyên INTEGER coldStart (0) Thông báo agent vừa khởi động lại Tất biến quản lý wrongLength(8) lỗi lệnh “set” đưa vào giá trị có chiều dài lớn reset, biến kiểu “Counters” “Gauges” đặt “coldStart” chiều dài tối đa đối tượng wrongEncoding(9) lỗi lệnh “set” sử dụng dùng để xác định thiết bị gia nhập vào mạng Khi thiết bị khởi cách mã hóa khác với cách đối tượng định nghĩa wrongValue(10) Một động xong, gửi “trap” tới NMS Nếu địa NMS đúng, NMS có biến đặt giá trị mà không hiểu Khi biến theo kiểu liệt kê thể nhận xác định xem có quản lý thiết bị hay không “enumeration” đặt giá trị không theo kiểu liệt kê noCreation(11) warmStart(1) thông báo agent vừa khởi tạo lại, biến bị reset lỗi cố đặt giá trị cho biến không tồn tạo biến linkDown(2) gửi interface thiết bị chuyển sang trạng thái MIB inconsistentValue Một biến MIB trạng thái không “down” linkUp(3) gửi interface trở lại trạng thái “up” quán, không chấp nhận câu lệnh “set” authenticationFailure(4) cảnh báo người cố truy cập vào resourceUnavailable(13) Không có tài nguyên hệ thống để thực lệnh agent mà không xác thực egpNeighborLoss(5) cảnh báo EGP “set” commitFailed(14) Đại diện cho tất lỗi lệnh “set” thất bại lân cận bị “down” enterpriseSpecific(6) “trap” riêng, undoFailed(15) Một lệnh “set” không thành công agent phục biết agent NMS tự định nghĩa riêng chúng NMS sử dụng phương hồi lại trạng thái trước lệnh “set” bắt đầu thất bại authorizationError(16) pháp giải mã đặc biệt để hiểu thông điệp “trap” đưa Một lệnh SNMP không xác thực, người đưa mật mã MIB không notWritable(17) Một biến không chấp nhận lệnh “set” ENTERPRISE rdbmsTraps VARIABLES { rdbmsSrvInfoDiskOutOfSpaces } inconsistentName(18) Cố gắng đặt giá trị, việc cố gắng thất bại DESCRIPTION "An rdbmsOutOfSpace trap signifies that one of the biến tình trạng không quán database servers managed by this agent has been unable to allocate space - SNMP Traps: Trap cảnh báo agent tự động gửi cho NMS để NMS for one of the databases managed by this agent Care should be taken to biết có tình trạng xấu agent avoid flooding the network with these traps." ::= qua “rdbmsOutOfSpace”: rdbmsOutOfSpace TRAP-TYPE - SNMP Notification: Để chuẩn hóa định dạng PDU “trap” SNMPv1 PDU “get” “set” khác nhau, SNMPv2 đưa NOTIFICATIONTYPE” Định dạng PDU “NOTIFICATION-TYPE” để nhận “get” “set” “NOTIFICATION-TYPE” định nghĩa RFC 2863: linkDown NOTIFICATION-TYPE OBJECTS {ifIndex, ifAdminStatus, Hình 2.17: Hoạt động SNMP Trap 51 52 ifOperStatus} STATUS current DESCRIPTION "A linkDown trap signifies that the SNMPv2 entity, acting in an agent role, has detected that the ifOperStatus object for one of its communication links left the down state and transitioned into some other state (but not into the notPresent state) This other state is indicated by the included value of ifOperStatus." ::= { snmpTraps } OID “trap” 1.3.6.1.6.3.1.1.5.3, - Bên xác thực gửi thông điệp yêu cầu tới đầu bên (user) - Đầu bên tính toán giá trị cách sử dụng hàm băm chiều gửi trả lại cho bên xác thực - Bên xác thực chấp nhận xác thực giá trị phù hợp Sau thoả thận giao thức xác thực CHAP liên kết PPP đầu cuối, máy chủ truy cập gửi “chanllenge” tới người dùng từ xa tức Người dùng từ xa phúc đáp lại giá trị tính toán sử dụng tiến trình iso.org.dod.internet.snmpV2.snmpModules.snmpMIB.sn xử lý chiều (hash), máy chủ truy cập kiểm tra so sánh thông tin phúc mpMIBObjects.snmpTraps.linkDown đáp với giá trị hash mà vừa tính Nếu gía trị nhau, xác thực - SNMP inform: SNMPv2 cung cấp chế truyền thông NMS thành công, ngược lại kết nối bị huỷ bỏ với nhau, gọi SNMP inform Khi NMS gửi SNMP inform cho NMS khác, NMS nhận gửi trả ACK xác nhận kiện Việc giống với chế “get” “set” Chap cung cấp chế an toàn thông qua việc sử dụng giá trị chanllenge thay đổi, đoán Nhược điểm phương pháp xác thực tính khả mở - SNMP report: định nghĩa nháp SNMPv2 yêu cầu quản lý lượng lớn thuộc tính sử dụng cho hàm băm, đặc không phát triển Sau đưa vào SNMPv3 hy vọng dùng để biệt mạng lớn truyền thông hệ thống SNMP với + TACACS (Terminal Access Controller Access-Control System): 2.2 Các giải pháp xác thực thông tin quản trị Xác thực phần quan trọng cấu trúc an ninh quản trị mạng nói chung kiến trúc quản trị mạng SNMP nói riêng Người sử dụng cần phải xác thực để truy cập vào tài nguyên hệ thống Sau Hệ thống điều khiển truy nhập từ xa mô hình khách/chủ - User quay số tới máy chủ truy nhập từ xa - RAS(Remote Access Service) sử dụng giao thức TACACS/RADIUS gửi yêu cầu tới máy chủ xác thực (Authentication server) số phương thức xác thực: + PAP (Password Authentication Protocol): Là giao thức xác thực đơn giản dựa mật khẩu, sử dụng kết nối PPP PAP không an toàn thông tin xác thực không mã hóa, kẻ công chặn - Máy chủ xác thực kiểm tra yêu cầu dựa vào sở liệu tài khoản người sử dụng + RADIUS (Remote Authentication Dial-In User Service): Là dịch vụ xác thực truy nhập từ xa, hỗ trợ nhiều máy chủ số lượng lớn kết nối Mô đọc mật giả danh người sử dụng để truy nhập vào mạng + CHAP (Challenge Handshake Authentication Protocol): giao thức xác thực có kiểm tra, sử dụng kết nối PPP Quá hình khách/chủ RADIUS sử dụng máy chủ điều khiển truy nhập (NAS – Network Access Service) để quản lý kết nối, có chức máy khách RADIUS Truyền thông máy khách máy chủ trình thực phương thức xác thực CHAP bao gồm bước 53 54 RADIUS bảo mật, sử dụng mật khóa chia sẻ cho xác thực mã hóa để truyền mật người sử dụng + CA (Certificate Authentication): Chứng thực điện tử - tổ 2.4 Giải pháp mã mật thông tin quản trị Thuật toán Cryptography đề cập tới ngành khoa học nghiên cứu mã hoá giải mã thông tin Cụ thể nghiên cứu cách thức chuyển đổi thông tin từ dạng rõ (clear text) sang dạng mờ (cipher text) ngược lại chức cấp chứng số Đây phương pháp hỗ trợ tốt cho việc chống lại truy 2.3 Giải pháp đảm bảo toàn vẹn thông tin quản trị Các bước bảo vệ: cập bất hợp pháp tới liệu truyền mạng, áp dụng mã hoá + Điều khiển truy nhập (Access Control): cấp quyền truy nhập sử dụng tài nguyên, xác thực, giám sát truy nhập khiến cho nội dung thông tin truyền dạng mờ đọc cố tình muốn lấy thông tin Khóa K Khóa K + Giám sát hoạt động mạng + Bảo mật thông tin mạng (mã DES, mã công khai RSA …) Plaintext Bản rõ Mật mã + Bức tường lửa (Firewall) ngăn mạng nội với giới Internet bên Giải mã Ciplaintext + Bảo vệ vật lý: ngăn cản truy nhập vật lý bất hợp pháp (gate keeper) + Kiểm soát phần mềm đưa vào mạng Bản mã Bản rõ ban đầu Hình 2.19: Quá trình mã mật thông tin Không phải hay ứng dụng phải sử dụng mã hoá Nhu cầu sử dụng mã hoá xuất bên tham gia trao đổi thông tin muốn bảo vệ tài liệu quan trọng hay gửi chúng cách an toàn Trọng tài, phân phối thông tin mật Các tài liệu quan trọng là: tài liệu quân sự, tài chính, kinh doanh đơn giản thông tin mang tính riêng tư, Người gửi Bản tin Mật mã Như biết, Internet hình thành phát triển từ yêu cầu phủ Mỹ nhằm phục vụ cho mục đích quân Khi tham gia Kẻ công, Hacker, Virus, Worm, … Kênh truyền tin trao đổi thông tin, Internet môi trường không an toàn, đầy rủi ro nguy hiểm, đảm bảo thông tin mà truyền không Bản tin bị đọc trộm đường truyền Do đó, mã hoá áp dụng biện pháp nhằm giúp tự bảo vệ thông tin mà gửi Bên cạnh đó, mã hoá có ứng dụng khác Giải mã bảo đảm tính toàn vẹn liệu Theo số tài liệu trước tính an toàn, bí mật thuật Người nhận toán phụ thuộc vào phương thức làm việc thuật toán Nếu tính an Hình 2.18: Mô hình an ninh mạng toàn thuật toán dựa vào bí mật thuật toán thuật 55 56 toán thuật toán hạn chế (Restricted Algrorithm) Thuật toán có + RC6: nâng cấp RC5 để tăng tính bảo mật hiệu tầm quan trọng lịch sử không phù hợp thời đại ngày + AES (Advanced Encryption Standard): khối liệu 128 bít, Giờ đây, không người sử dụng mặt hạn chế nó: khóa 128/192/256 user rời khỏi nhóm toàn nhóm phải chuyển sang sử dụng thuật toán khác người người nhóm tiết lộ thông tin thuật toán hay có kẻ phát tính bí mật thuật toán coi thuật toán bị phá vỡ, tất user lại nhóm buộc phải thay đổi lại thuật toán dẫn đến thời gian công sức Hệ thống mã hoá giải vấn đề thông qua khoá yếu tố có liên quan tách rời khỏi thuật toán mã hoá Do Hình 2.20: Mô hình DES thuật toán công khai tính an toàn mã hoá phụ thuộc vào khoá Khoá giá trị chữ số Phạm vi không gian giá trị có khoá gọi Keyspace Hai trình mã hoá giải mã dùng đến khoá Hiện nay, người ta phân loại thuật toán dựa số lượng đặc tính khoá sử dụng 2.4.1 Sơ lược mật mã đối xứng DES Năm 1972, Viện tiêu chuẩn công nghệ quốc gia Hoa kỳ (National Institute of Standards and Technology-NIST) đặt yêu cầu xây dựng thuật toán mã hoá bảo mật thông tin với yêu cầu dễ thực hiện, sử dụng rộng rãi nhiều lĩnh vực mức độ bảo mật cao Năm 1974, IBM Nói đến mã hoá tức nói đến việc che dấu thông tin cách sử dụng thuật toán Che dấu làm cho thông tin biến mà cách thức chuyển từ dạng tỏ sang dạng mờ Một thuật toán tập hợp câu lệnh mà theo chương trình biết phải làm để xáo trộn hay phục hồi lại liệu giới thiệu thuật toán Lucifer, thuật toán đáp ứng hầu hết yêu cầu NIST Sau số sửa đổi, năm 1976, Lucifer NIST công nhận chuẩn quốc gia Hoa kỳ đổi tên thành Data Encryption Standard DES DES thuật toán mã hoá bảo mật sử dụng rộng rãi Giải pháp mã mật thông tin quản trị thường sử dụng hệ mã cổ điển DES (Data Encryption Standard): DES tổ hợp phương pháp thay thế, đổi chỗ Nó chia tin thành block có độ dài cố định (64 bít) lặp lại phép mã hóa thay đổi chỗ nhiều lần cho khối giới, chí, nhiều người DES mã hoá bảo mật đồng nghĩa với thời điểm DES đời người ta tính toán việc phá khoá mã DES khó khăn Cùng với phát triển loại máy tính mạng máy tính có tốc độ tính toán cao, khoá mã DES bị phá - Các phát triển tiếp DES là: khoảng thời gian ngày ngắn với chi phí ngày thấp Dù + IDEA (International Data Encryption Algorithm): khóa 128 bít, khối liệu 64 bít việc vượt xa khả hacker thông thường mã hoá DES tiếp tục tồn nhiều lĩnh vực ngân hàng, thương mại, thông + RC5: khối liệu khóa sử dụng có độ dài thay đổi 57 58 tin nhiều năm đặc biệt với đời hệ DES mới-"Triple DES" Kể từ DES đời, nhiều thuật toán mã hoá bảo mật khác phát triển tương tự DES dựa DES, nắm 2.4.2.1 Chuẩn bị chìa khoá: Bước chuyển 64 bit chìa khoá qua bảng hoán vị gọi Permuted Choice hay PC-1 để thu chìa khoá có 56 bit Sau vệc chuẩn bị chìa khoá liệu mã hoá hoàn thành, thực mã hoá thuật toán DES Đầu tiên, khối liệu đầu vào 64 bit nguyên tắc DES bạn dễ dàng hiểu thuật toán Yêu cầu đặt muốn bảo mật tốt phải tìm thuật chia thành hai nửa, L R L gồm 32 bit bên trái R gồm 32 bit bên toán cho việc thực không phức tạp xác suất tìm chìa phải Quá trình sau lặp lại 16 lần tạo thành 16 vòng DES gồm khoá cách thử tất trường hợp (brute-force) nhỏ (số lần thử 16 cặp L[0]-L[15] R[0]-R[15]: Bước 1: R[r-1]- r số vòng, 1- lấy cho qua phải lớn) bảng E (E-bit Selection Table), bảng giống bảng hoán vị, có 2.4.2 Thuật toán bảo mật DES Về mặt khái niệm, thông thường thuật toán mã hoá DES thuật toán mở, nghĩa người biết thuật toán Điều quan trọng chìa khoá DES có độ dài tới 56 bit, nghĩa số lần thử tối đa để tìm chìa khoá lên đến 2^56, trung bình 2^55 = 36.028.797.018.963.968 lần, số lớn DES thực nhờ phép dịch, hoán vị phép toán logic bit Mỗi ký tự thư hay tin cần mã hoá biểu diễn số hexa hay bít DES mã hoá khối 64 bít tương đương 16 số hexa Để thực việc mã hoá DES sử dụng chìa khoá dạng 16 số hexa hay 64 bít tức byte, bít thứ byte bị bỏ qua mã hoá độ lớn thực tế chìa khoá 56 bit Ví dụ, ta mã hoá tin hexa "0123456789ABCDEF" với chìa khoá "5A5A5A5A5A5A5A5A" kết "72AAE3B3D6916E92" Nếu kết giải mã với chìa khoá "5A5A5A5A5A5A5A5A" ta thu lại tin "0123456789ABCDEF" DES bao gồm 16 vòng, nghĩa thuật toán lặp lại 16 lần để tạo tin mã hoá Sau trình bày quy trình thuật toán DES điều số bit dùng lần mở rộng R[r-1] từ 32 bit lên 48 bit để chuẩn bị cho bước Bước 2: 48 bit R[r-1] XOR với K[r] lưu nhớ đệm, R[r-1] không thay đổi Bước 3: Kết bước trước lại chia thành đoạn, đoạn bit, từ B[1] đến B[8] Những đoạn tạo thành số cho bảng S (Substitution) sử dụng bước Các bảng S, bảng (S[1]-S[8]) hàng, 16 cột Các số bảng có độ dài bit có giá trị từ đến 15 Bước 4: Bắt đầu từ B[1], bit đầu cuối khối bit lấy sử dụng làm số hàng bảng S[1], có giá trị từ đến 3, bit dùng làm số cột, từ đến 15 Giá trị đến bảng S lấy lưu lại Việc lặp lại B[2] S[2] B[8] S[8] Lúc bạn có số bit, nối lại với theo thứ tự thu tạo chuỗi 32 bit Bước 5: Kết bước trước hoán vị bit bảng hoán vị P (Permutation) Bước 6: Kết thu sau hoán vị XOR với L[r-1] chuyển vào R[r] R[r-1] chuyển vào L[r] 59 60 Bước 7: Lúc bạn có L[r] R[r] Bạn tiếp tục tăng r lặp lại bước r= 17, đIều có nghĩa 16 vòng thực chìa khoá phụ K[1]-K[16] sử dụng - Ứng dụng DES DES thường dùng để mã hoá bảo mật thông tin trình truyền tin lưu trữ thông tin Một ứng dụng quan trọng khác Khi có L[16] R[16], chúng ghép lại với theo cách DES kiểm tra tính xác thực mật truy nhập vào hệ thống chúng bị tách (L[16] bên trái R[16] bên phải) thành 64 bit 64 bit (hệ thống quản lý bán hàng, quản lý thiết bị viễn thông…), hay tạo kiểm hoán vị để tạo kết cuối liệu 64 bit mã tính hợp lệ mã số bí mật (thẻ internet, thẻ điện thoại di động trả hoá trước), thẻ thông minh (thẻ tín dụng, thẻ payphone…) 2.4.2.2 Giải mã: Việc giải mã dùng thuật toán việc mã hoá Để giải mã - Phá khóa DES Năm 1998, nhóm nghiên cứu chi phí 220.000USD để chế tạo liệu mã hoá, trình giống mã hoá lăp lại thiết bị thử toàn số chìa khoá DES 56 bit trung bình 4,5 chìa khoá phụ dùng theo thứ tự ngược lại từ K[16] đến K[1], nghĩa ngày Tháng năm 1998 họ thông báo phá chìa khoá DES 56 bước trình mã hoá liệu đầu vào R[r-1] Thiết bị gọi Deep Crack gồm 27 board mạch, board chứa 64 chip có khả thử 90 tỷ chìa khoá giây XOR với K[17-r] với K[r] Tuy nhiên, việc phá khóa Triple DES điều khó khăn, - Các chế độ DES: Thuật toán DES mã hoá đoạn tin 64 bit thành đoạn tin mã hoá 64 bit chuyên gia bảo mật cho "Không có đủ silic giải ngân hà (để Nếu khối 64 bit mã hoá cách độc lập ta có chế độ mã hoá chế tạo chip-TG) không đủ thời gian trước mặt trời bị phá huỷ ECB (Electronic Code Book) Có hai chế độ khác mã hoá DES CBC để phá khoá Triple DES" (Chain Block Coding) CFB (Cipher Feedback), làm cho đoạn tin mã hoá 64 bit phụ thuộc vào đoạn tin trước thông qua phép toán XOR - Triple DES: Triple-DES DES với hai chìa khoá 56 bit Cho tin cần mã hoá, chìa khoá dùng để mã hoá DES tin đó, kết thu lại cho qua trình giải mã DES với chìa khoá chìa khoá thứ hai, tin sau qua biến đổi thuật toán DES hai lần lại mã hoá DES với lần với chìa khoá để tin mã hoá cuối Quá trình mã hoá DES ba bước gọi Triple-DES 61 62 Trên Modem ZoomADSL mở trang web cấu hình router, tìm tab Chương 3: MÔ HÌNH THỬ NGHIỆM Administration -> Management Trong Management, tìm mục SNMP (hình 3.1 Lựa chọn mô hình thử nghiệm Có thể nói giới có nhiều phần mềm SNMP sử dưới): dụng cho version 1, version version Mỗi phần mềm phục vụ cho hay nhiều hệ điều hành có nhiều phiên với ưu nhược điểm khác nhau, sử dụng cấu hình thiết bị phần cứng hỗ trợ giao thức SNMP Router, Pix, Modem… Do đó, để lựa chọn phần mềm nhằm thực thử nghiệm mô hình quản trị mạng SNMP khó khăn Sau thời gian nghiên cứu tìm hiểu chọn phần mềm PRTG Traffic Grapher ứng dụng Windows để minh họa cho giao thức SNMP - PRTG Traffic Grapher dùng để theo dõi phân loại cách Hình 3.1: Enable SNMP Router ADSL ZoomX5, X6 dùng băng thông Có thể nói với mạng việc giao tiếp với mạng bên phải thông qua thiết bị Modem Với công cụ PRTG Traffic Grapher người quản trị mạng theo dõi băng thông router ADSL thông qua giao thức SNMP Trong chương trình theo dõi băng thông dựa vào traffic thông qua cổng card mạng Trong mục SNMP, lựa chọn Enable Lưu ý xem Modem router bạn hỗ trợ SNMP version giá trị Community Trong ví dụ này, Modem router hỗ trợ SNMP V1 V2, giá trị Get Community "public" Trên Modem Dlink-520T (ADSL Router) sau login vào cấu hình web, chọn tab Advanced menu bên trái chọn mục SNMP máy tính mạng PRTG Traffic Grapher theo dõi traffic trực tiếp cổng PPP router ADSL nên theo dõi toàn traffic IN, OUT toàn mạng PRTG Traffic Grapher có phiên miễn phí, thương mại Phiên PRTG Traffic Grapher miễn phí (15MB) download theo link sau: http://www.paessler.com/download/prtg - Xác lập SNMP router ADSL Với loại Modem nào, việc cấu hình router cung cấp liệu SNMP theo bước sau: Hình 3.2: Cài đặt SNMP ADSL Dlink-D520T 63 64 3.2 Phân tích trình hoạt động 3.2.1 Cài đặt chương trình Sử dụng PRTG Traffic Grapher để theo dõi băng thông Sau download PRTG Traffic Grapher, tiến hành cài đặt Việc cài đặt thực dễ dàng Để chạy chương trình, Windows nhắp Start -> Programs > PRTG Traffic Grapher -> PRTG Traffic Grapher Xuất hộp thoại Welcome to PRTG Traffic Grapher Hình 3.4: Giao diện PRTG Traffic Grapher Trên giao diện PRTG Traffic Grapher, kích chuột vào lựa chọn "Click here to create your first sensor" để tạo sensor theo dõi Khi PRTG Traffic Grapher chạy bước cấu hình để thêm sensor Dưới bước cấu hình chính: Hình 3.3: Hộp thoại Welcome to PRTG Traffic Grapher Trên hộp thoại Welcome to PRTG Traffic Grapher, lựa chọn "Use the Freeware Edition", sau nhắp Next để tiếp tục Sẽ xuất giao diện PRTG Traffic Grapher Hình 3.5: Chọn giao thức SNMP PRTG Traffic Grapher có hỗ trợ loại sensor: SNMP, Packet Sniffing, NetFlow, Latency Phiên miễn phí hỗ trợ SNMP Packet Sniffing SNMP sensor sử dụng để theo dõi traffic IN OUT cổng Modem router Packet Sniffing sử dụng để theo dõi traffic card mạng máy sử dụng 65 66 Trên hộp thoại Data Acquisition Type, lựa chọn SNMP Trên hộp thoại Device Selection, xác định giá trị: - Device Name/Alias: Nhập tên router bạn tự quy định Có thể chọn IP thiết bị cho dễ nhớ - IP Address/DNS Name: Địa IP router - SNMP Version: Phiên SNMP router hỗ trợ Trong ví dụ router hỗ trợ SNMP V1/V2 nên chọn V2c Có thể chọn phiên để thử - SNMP port: Để giá trị ngầm định cổng SNMP 161 - SNMP Community String: Ngầm định public Giá trị kiểm tra phần cấu hình SNMP router Nếu sử dụng SNMP V3, cần phải xác định SNMP User, Hình 3.6: Chọn chuẩn Sensor Authentication Mode Password, có thêm lựa chọn Data Encryption Trên hộp thoại SNMP Sensor Type Selection, lựa chọn "Standard key Traffic Sensor" Các lựa chọn khác tùy thuộc vào thiết bị hỗ trợ SNMP Hình 3.8: Chọn Sensor Hình 3.7: Lựa chọn IP version SNMP 67 68 Trên hộp thoại Sensor Selection xuất cổng mà router hỗ trợ Lựa chọn cổng theo dõi ADSL ppp0 Lưu ý ký hiệu: ppp: 3.2.2 Phân tích trình hoạt động Kiến trúc PRTG Network Monitor bao gồm hai phần là: Point-to-Point Protocol; eth: Ethernet; br: Bridge; wlan: Wireless PRTG Core Server PRTG Probe Vấn đề trình cài đặt Sau lựa chọn cổng theo dõi, xuất giao diện đồ họa theo dõi PRTG Core Server bao gồm trình lưu trữ liệu, web server, báo cáo hệ thống lưu trữ Còn Probe thi hành trình giám sát, nhận băng thông cổng tương ứng cấu hình từ Core Server thực thi trình xử lý sau báo kết cho Core Server Một Core Server quản lí không giới hạn Probe để tăng khả giám sát Hai phần Core Probe hai dịch vụ windows chúng chạy hệ điều hành window, không yêu cầu login vào user - Core Server: phận quan trọng PRTG dùng để xử lí trình + Cấu hình quản lí monitor + Quản lí cấu hình kết nối với Probe + Lưu dòng kết monitor + Người quản trị khai báo Mail Server cho trình gửi qua Email + Lập biểu báo cáo + Quản lí account Hình 3.9: Giao diện Sensor Monitoring + Thanh lọc liệu (dữ liệu 365 ngày) Việc hiển thị chia thành loại biểu đồ hỗ trợ người quản trị theo dõi thuận tiện: Live Graph 60 Minutes, Graph 24 Hours, Graph 30 - Probe: giao diện PRTG chạy hay nhiều máy tính Ở days, Graph 365 days với mức thời gian giá trị trung bình hiển thị trình cài đặt gọi “Local Probe” tự động tạo hệ thống Sau khác nhận cấu hình từ Core hệ thống tất Probe hoạt động Lưu ý đường mầu xanh Bandwith Traffic OUT, đường mầu đỏ nâu Bandwith Traffic IN Trên tính PRTG Traffic độc lập Chúng có nhiệm vụ giám sát thông báo tình trạng hệ thống máy tính Grapher hỗ trợ người quản trị theo dõi băng thông router ADSL Các tính khác Hình 3.10: Cấu trúc Probe 69 70 - Trên thẹc tế PRTG Network Monitor thi hành sensor, CÀI ĐẶT CẤU HÌNH HỆ THỐNG sensor đại diện cho thiết bị mạng, là: + Một dịch vụ mạng: SMTP, FTP, HTTP… Cài đặt cấu hình Windows + Quá trình giao tiếp cổng Switch Cài đặt dịch vụ SNMP Mặc định hệ điều hành Windows không cài dịch vụ hỗ trợ cho giao + Quá trình hoạt động CPU hay nhớ + Quá trình giao tiếp card mạng thức SNMP, để cài thêm ta vào Control Panel, double click vào Add + Một thiết bị NetFlow… Remove Program  Add Remove Windows Component Chọn Management - Các Sensor cho phép User tạo thành nhóm, nhóm tập hợp and Monitoring Tools số thiết bị, thiết bị lại có tập Sensor cuối sensor có nhiều kênh “chanels” (có thể kênh IN hay OUT) Hình 3.11: Quá trình gom nhóm Probe 3.3 Đánh giá hiệu mô hình Với thực trạng nhu cầu an ninh Internet với tính trên, nói phần mềm giám sát giao tiếp mạng PRTG sử dụng giao thức SNMP đem lại hiệu độ an ninh cao quản trị mạng Việc sử dụng phần mềm PRTG Traffic Grapher áp dụng cài đặt số mô hình mạng cụ thể 71 72 Khi cài, ta có thêm dịch vụ hỗ trợ SNMP SNMP Service SNMP Trap Service: Sau cấu hình dịch vụ xong cần restart lại dịch vụ: Chọn SNMP Service sau kích chuột vào Restart Làm tương tự SNMP Trap Cấu hình community dịch vụ SNMP: Mở dịch vụ SNMP Service: vào tab Security, tab cho phép thiết lập community có ý nghĩa giống mật thiết bị quản lý thiết bị cần quản lý Đối với community kèm với quyền (rights) khác nhau: READ-ONLY: Chỉ cho phép đọc, không thiết lập lại thông số được, READ-WRITE: Cho phép thiết lập lại thông số READ-CREATE: Cho phép tạo thông số NOTIFY: Dùng chế Trap NONE: Community quyền hết Đó thiết lập quyền phía người dùng, thân tham biến có quyền riêng Ví dụ với tham biến thời gian UpTime hệ thống ta không set giá trị lại Mặt khác, tham biến system.sysContact ta đặt lại giá trị Cài đặt Linux: Có thể sử dụng gói cài thêm dùng công cụ Net-SNMP có sẵn số distro Linux Sử dụng gói cài: giải nén tạo liên kết mềm với Net-SNMP #cd #tar-xvzf net-snmp-5.0.2.tar.gz #ln –s net-snmp-5.0.2 net-snmp #cd ~/net-snmp #./configure … Biên dịch #make … Cài đặt #make install Thiết lập biến môi trường PATH=$PATH:/usr/local/bin:/usr/loacl/sbin 73 74 MIBS=ALL Export PATH MIBS KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN Sử dụng dịch vụ SNMP công cụ Net-SNMP có sẵn Linux: Kết luận Mặc định dịch vụ SNMP không cài Linux nên phải cài thêm Sau thời gian thực hiện, em hoàn thành luận văn đạt vào Đối với distro Fedora Core cài thêm mục System số kết định Trong luận văn này, em cố gắng trình bày Tools/snmpd Sau cài có thêm hai dịch vụ snmpd snmptrapd kiến thức an ninh kiến trúc quản trị mạng SNMP Khác với windows, ta muốn thiết lập community cho dịch vụ SNMP phải sửa lại file cấu hình /etc/snmp/snmpd.conf sau: Luận văn tập trung chủ yếu vào vấn đề: Tổng quan quản trị an ninh thông tin Internet, nghiên cứu giải pháp an ninh kiến trúc mạng SNMP Kết đạt được: hoàn thành luận văn với nội dung nêu Hướng phát triển Hoàn thành luận văn với kết đạt tương đối theo yêu cầu đề tài đưa Tuy nhiên trình thực đề tài, em nhận thấy nhiều vấn đề liên quan cần tìm hiểu nghiên cứu Em xin đưa số vấn đề cần tìm hiểu nghiên cứu phát triển đề tài sau: - Dựa vào kết nghiên cứu xây dựng phần mềm quản trị hệ thống mạng thông qua giao thức SNMP - Kết hợp với việc nghiên cứu số giải pháp an ninh phần cứng phần mềm khác để xây dựng hệ thống mạng với an toàn liệu an ninh cao Sau lần chỉnh sửa file cấu hình gõ lệnh service snmpd restart để khởi động lại dịch cụ SNMP ứng với lần chỉnh sửa Khi cấu hình xong dùng dòng lệnh để quản lý Phần giống windows 75 76 TÀI LIỆU THAM KHẢO Giáo trình hệ thống mạng máy tính CCNA, Nhà xuất LĐXH, 2004 Hướng dẫn thiết lập quản trị mạng, Nhà xuất Thống Kê, 2002 Giáo trình Curicurlum CCNA1 Cisco System Internetworking với TCP/IP, Nhà xuất Giáo dục, 2001 Computer Security Art And Science, By Matt Bishop, Publisher: Addition Wesley, 2002 Essential SNMP, 2nd Edition, By Douglas Mauro, Kevin Schmidt, Publisher: O'Reilly, Pub Date: September 2005 IETF: RFC2021, RFC1213, RFC1757, RFC2271 http://www.cisco.com/en/US/docs/switches/lan/catalyst5000/catos/4.5/ configuration/guide/snmp.html http://net-snmp.sourceforge.net/ 10 http://www.paessler.com/download/prtg 77