Nghiên cứu hệ thống giám sát an ninh mạng ứng dụng tại sở thông tin và truyền thông tỉnh vĩnh phúc (LV01990)

Trung tâm dữ liệu của tỉnh đặt tại Sở TT&TT là trái tim về ứng dụng CNTT của toàn tỉnh Vĩnh Phúc, hiện đang được cài đặt các ứng dụng dùng chung của tỉnh bao gồm 30 Cổng thông tin điện c

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC SƯ PHẠM HÀ NỘI 2

LUẬN VĂN THẠC SĨ MÁY TÍNH

HƯỚNG DẪN KHOA HỌC: TS HỒ VĂN HƯƠNG

HÀ NỘI, 2016

LỜI CẢM ƠN

Trước hết học viên xin gửi lời cảm cơn tới các thầy cô giáo trường đại học Sư phạm Hà Nội 2, nơi học viên đã được truyền đạt các kiến thức quý báu trong suốt quá trình học tập Xin cám ơn các cán bộ nhà trường đã tạo điều kiện tốt nhất cho học viên học tập và hoàn thành luận văn này

Đặc biệt, học viên xin được gửi lời cám ơn đến thầy giáo hướng dẫn,

TS Hồ Văn Hương – Ban cơ yếu Chính phủ, thầy đã tận tình chỉ bảo giúp đỡ học viên trong suốt quá trình nghiên cứu để hoàn thành luận văn

Xin cảm ơn bạn bè đã giúp đỡ tài liệu và trao đổi kinh nghiệm để hoàn thành khoá luận tốt nghiệp

Xin cảm ơn!

Hà Nội, Ngày 6 tháng 7 năm 2016

Học viên thực hiện

Vũ Vương Toàn

LỜI CAM ĐOAN

Học viên xin cam đoan luận văn “Nghiên cứu hệ thống giám sát an ninh mạng ứng dụng tại Sở Thông tin và Truyền thông tỉnh Vĩnh Phúc” là công trình nghiên cứu của chính bản thân học viên Các nghiên cứu trong luận văn này dựa trên những tổng hợp kiến thức lý thuyết đã được học, và sự hiểu biết thực tế dưới sự hướng dẫn khoa học của thầy giáo TS Hồ Văn Hương

Các tài liệu tham khảo được trích dẫn đầy đủ nguồn gốc Học viên xin chịu trách nhiệm và chịu mọi hình thức kỷ luật theo quy định cho lời cam đoan của mình

Hà Nội, Ngày 6 tháng 7 năm 2016

Học viên thực hiện

Vũ Vương Toàn

MỤC LỤC

LỜI CẢM ƠN

LỜI CAM ĐOAN

DANH MỤC CÁC TỪ VIẾT TẮT TRONG LUẬN VĂN

DANH MỤC HÌNH ẢNH

MỞ ĐẦU 1

CHƯƠNG 1: TỔNG QUAN VỀ GIÁM SÁT AN NINH MẠNG VÀ HỆ THỐNG GIÁM SÁT AN NINH MẠNG 5

1.1 Tổng quan giám sát an ninh mạng 5

1.2 Mục tiêu, lợi ích của giám sát thông tin hệ thống 6

1.2.1 Mục tiêu 6

1.2.2 Lợi ích của việc giám sát thông tin hệ thống 6

1.3 Tình hình an ninh mạng trong nước và quốc tế 6

1.4 Thực trạng và nhu cầu giám sát an ninh mạng tại sở TT&TT Vĩnh Phúc 9

1.5 Cấu trúc, chức năng của hệ thống giám sát an ninh mạng 11

1.6 Giao thức SNMP 13

1.6.1 Giới thiệu 13

1.6.2 Các phiên bản giao thức SNMP 14

1 6 3 á thành ph n h nh và m h nh ủ gi o thứ N 14

1.6.4 Cấu trú và đặ điểm của thông tin quản lý SMI 15

1 6 5 á ơ hế bảo mật SNMP 17

1 6 6 Ưu và nhượ điểm của SNMP 19

1.7 Một số phần mềm giám sát mạng sử dụng giao thức SNMP 20

1.7.1 Nagios 20

1.7.2 OpenNMS 20

1.7.3 Cacti 20

1 7 4 o sánh, phân t h đánh giá á ng ụ giám sát mạng 21

CHƯƠNG 2: NGHIÊN CỨU TÌM HIỂU PHẦN MỀM CACTI 23

2.1 Lý do chọn phần mềm Cacti 23

2.2 Chức năng của phần mềm Cacti 24

2.3 Kiến trúc của phần mềm Cacti 27

2.4 Một số khái niệm cơ bản trong phần mềm Cacti 29

2.5.Các tệp cấu hình trong phần mềm Cacti 31

2.6 Cách thức định nghĩa đối tượng trong các tệp cấu hình đối tượng 32

2 6 1 Định nghĩ Host 33

2.6.2 Định nghĩ dịch vụ 33

2.6.3 Định nghĩ Lệnh 35

2.7 Các dịch vụ giám sát 36

2.7.1 Giám sát các thiết bị mạng 36

Cấu hình giám sát router/switch 36

2.7.2 Giám sát các dịch vụ mạng 37

2.8 Cảnh báo tới người quản trị 44

2.9 Tổng hợp báo cáo 45

2.10 Đánh giá, so sánh hệ thống giám sát triển khai dựa trên Cacti 46

CHƯƠNG 3: TRIỂN KHAI ỨNG DỤNG PHẦN MỀM CACTI TẠI SỞ TT&TT TỈNH VĨNH PHÚC 47

3.1 Mô hình triển khai 47

3.1.1 Mô hình mạng tại Sở Thông tin và Truyền thông tỉnh Vĩnh hú 47

3 1 2 Đề xuât mô hình ứng dụng ph n mềm Cacti tại Sở Thông tin và Truyền thông tỉnh Vĩnh hú 48

3.2 Các bước triển khai giám sát an ninh mạng 50

3.3 Kết quả triển khai giám sát hệ thống 58

3.3.1 Giám sát máy sử dụng hệ điều hành windows 58

3.3.2 Giám sát máy chủ web server 61

3.3.3 Giám sát Mail server 63

KẾT LUẬN 62

DANH MỤC CÁC TÀI LIỆU THAM KHẢO 64

DANH MỤC CÁC TỪ VIẾT TẮT TRONG LUẬN VĂN

máy đầu cuối được giám sát…(tất

cả các thiết bị tham gia vào mạng đều được gọi chung là host)

SNMP

Simple Network Managerment Giao thức quản lý mạng đơn giản Protocol

TCP

Transmission Control Protocol Giao thức kiểm soát

UDP

User Datagram Protocol Giao thức sử dụng dữ liệu

ICMP

Internet Control Message Protocol Giao thức điều khiển thông điệp

Internet

MAC

Media Access Controllers Bộ điều khiển truy cập truyền thông PDU Protocol Data Unit Giao thức dữ liệu đơn vị

DANH MỤC HÌNH ẢNH

Hình 1.1 Minh họa SNMP 15

Hình 1.2 Cây MIB 16

Hình 2.1 Biểu đồ băng thông của cổng mạng 25

Hình 2.2 Biểu đồ băng thông của hệ thống 26

Hình 2.3 Trạng thái thiết bị 27

Hình 2.4 Các module của phần mềm Cacti 29

Hình 2.5 Cấu trúc phần mềm Cacti 29

Hình 2.6 Cấu hình cảnh báo email 44

Hình 2.7 Cấu hình cảnh báo SMS 45

Hình 2.8 Tổng hợp báo cáo 45

Hình 3.1 Mô hình mạnh tại Sở TT&TT Vĩnh Phúc 47

Hình 3.2 Sơ đồ triển khai ứng dụng phần mềm Cacti tại Sở TT&TT Vĩnh Phúc 49

Hình 3.3 Màn hình giao diện Cacti khởi động cài đặt 51

Hình 3.4 Màn hình giao diện Cacti kiểm tra các công cụ Trên trình duyệt Web nhập địa chỉ http://192.168.0.104/cacti 51

Hình 3.5 Màn hình đăng nhập hệ thống 52

Hình 3.6 File SNMP services 52

Hình 3.7 Đặt cấu hình SNMP services 53

Hinh 3.8 Thêm thiết bị máy client vào cacti 53

Hình 3.9 Thêm thiết bị máy chủ windows vào Cacti 54

Hình 3.10 Danh sách các nội dung cần giám sát 54

Hình 3.11 Lựa chọn thiết bị muốn tạo đồ thị 55

Hình 3.12 Biểu đồ thiết bị 56

Hình 3.13 Danh sách các máy có trong cây đồ thị 57

Hình 3.14 Tình trạng thiết bị trên cây đồ thị (máy 2) 57

Hình 3.15 Tình trạng thiết bị trên cây đồ thị 58

Hình 3.16 Biểu đồ tốc độ CPU 59

Hình 3.17 Biểu đồ tình hình sử dụng RAM 60

Hình 3.18 Biểu đồ dung lƣợng ổ đĩa C 60

Hình 3.19 Biểu đồ tốc độ mạng 61

Hình 3.20 Trạng thái request của IIS trên web server windows 61

Hình 3.21 Băng thông của web server 62

Hình 3.22 Trạng thái các dịch vụ của web server 63

Hình 3.23 Trạng thái các dịch vụ của mail server 63

MỞ ĐẦU

1 Lý do chọn đề tài

Năm 2015, an ninh, an toàn thông tin (ATTT) thực sự trở thành vấn đề

“nóng” sau một loạt các sự kiện ở tầm quốc gia và quốc tế Vụ việc các chương trình do thám của Cơ quan An ninh quốc gia Mỹ bị đưa ra công khai

và hàng loạt các vụ tấn công của tin tặc đã khiến nhận thức và mối quan tâm của xã hội đối với vấn đề này càng sâu sắc và rõ nét hơn trong năm 2016

Do vậy hệ thống mạng máy tính là một phần tất yếu và vô cùng quan trọng của một Quốc gia, một doanh nghiệp hay đơn giản chỉ là một hộ gia đình nh Phần lớn các công việc ngày nay t giao dịch đến trao đổi thông tin đều dựa trên hệ thống mạng máy tính

Các chuyên gia an ninh mạng đã đoán trước rằng trong kỷ nguyên Internet di động, vấn đề khủng khiếp nhất sẽ là an ninh, dự đoán này bây giờ đang trở thành thực tế Trong những năm gần đây, các website trên Internet, cũng như các dữ liệu của các doanh nghiệp, tổ chức, chính phủ,… đã bị nhiều đợt tấn công của các tội phạm mạng Đã có nhiều website, hệ thống mạng bị ngưng hoạt động trong nhiều giờ, nhiều dữ liệu quan trọng đã bị đánh cắp Những vụ tấn công đã gây ra thiệt hại nghiêm trọng và tác động tiêu cực, ảnh hưởng trực tiếp đến nhiều cá nhân, công việc kinh doanh của các doanh nghiệp, ảnh hưởng đến nền an ninh quốc phòng của nhiều quốc gia

Đầu năm 2016 các vụ tấn công mạng ngày càng gia tăng, với nhiều loại hình tấn công và mức độ ngày càng nghiêm trọng Những kẻ tấn công cũng có nhiều mục đích khác nhau như: chính trị, tài chính, tôn giáo, gián điệp, khủng bố nhằm đánh cắp dữ liệu, phá hủy dữ liệu, làm cho hệ thống bị ngưng hoạt động, hoạt động chậm…

Tấn công mạng và chiến tranh không gian mạng ngày càng trở nên nghiêm trọng Vì vậy việc nghiên cứu các hệ thống giám sát, chống tấn công

mạng và ứng dụng trong phòng thủ mạng để đảm bảo mạng hoạt động ổn định, bảo đảm an toàn thông tin trên mạng là việc làm rất cần thiết Giải quyết vấn đề an ninh mạng là việc làm của cả xã hội và là vấn đề cấp bách hiện nay

Sở Thông tin và Truyền thông tỉnh Vĩnh Phúc có chức năng nhiệm vụ quản lý nhà nước về Công nghệ thông tin, viễn thông, bưu chính và báo chí xuất bản trên địa bàn tỉnh, ngoài ra trực tiếp quản lý vận hành Trung tâm dữ liệu của tỉnh

Trung tâm dữ liệu của tỉnh đặt tại Sở TT&TT là trái tim về ứng dụng CNTT của toàn tỉnh Vĩnh Phúc, hiện đang được cài đặt các ứng dụng dùng chung của tỉnh bao gồm 30 Cổng thông tin điện của các đơn vị, 34 phần mềm Quản lý văn bản và điều hành, hệ thống thư điện tử công vụ, hệ thống gis nền địa lý, hệ thống một cửa điện tử liên thông của toàn tỉnh và nhiều ứng dụng chuyên nghành khác nữa…

Với tình hình an ninh mạng cấp thiết như trên và tầm quan trọng của hệ thống CNTT đặt tại Sở TT&TT tỉnh Vĩnh Phúc, xin đề xuất nghiên cứu và

triển khai thành luận văn với đề tài: “Nghiên cứu hệ thống giám sát an ninh mạng ứng dụng tại sở Thông tin và Truyền thông tỉnh Vĩnh Phúc”

2 Mục đích nghiên cứu

Tìm hiểu về an toàn thông tin, nguy cơ mất an toàn thông tin và giám sát an ninh mạng Ứng dụng phần mềm giám sát mạng Cacti tại Sở TT&TT Vĩnh Phúc

3 Nhiệm vụ nghiên cứu

- Tìm hiểu về tổng quan về an toàn thông tin, giám sát an ninh mạng

- Tìm hiểu cấu trúc, chức năng của hệ thống giám sát an ninh mạng

- Nghiên cứu tìm hiểu phần mềm giám sát mạng Cacti

- Nghiên cứu triển khai phần mềm Cacti tại sở TT&TT tỉnh Vĩnh Phúc

4 Đối tượng và phạm vi nghiên cứu

- Giám sát an toàn thông tin, an ninh mạng bao gồm các cấu trúc, chức năng hệ thống giám sát, quản lý và các công vụ phát hiện tấn công mạng

- Ứng dụng phần mềm Cacti giám sát an ninh mạng tại Sở TT&TT

5 Phương pháp nghiên cứu

Sử dụng các phương pháp nghiên cứu chính sau:

- Nghiên cứu lý thuyết: Tổng hợp tài liệu, phân tích, suy diễn, qui nạp, các phương pháp hình thức

- Mô ph ng, thực nghiệm: Điều tra chọn mẫu, xử lí thống kê, đối sánh

- Trao đổi khoa học, lấy ý kiến chuyên gia

6 Dự kiến kết quả đạt được

- Nghiên cứu, tìm hiểu tổng quan về an ninh mạng

- Đánh giá thực trạng an toàn thông tin tại Sở TT&TT tỉnh Vĩnh Phúc

- Nghiên cứu, tìm hiểu hệ thống giám sát an ninh mạng

- Tìm hiểu công cụ giám sát an toàn, an ninh mạng

- Ứng dụng dụng công cụ để xây dựng giám sát an ninh mạng tại Sở TT&TT tỉnh Vĩnh Phúc

7 Bố cục luận văn

Dựa trên đối tượng và phạm vi nghiên cứu, luận văn sẽ được phân làm

3 chương chính với các nội dung cụ thể như sau:

Chương 1 Tổng quan về giám sát an ninh mạng và hệ thống giám sát

an ninh mạng

Chương 2 Nghiên cứu tìm hiểu phần mềm Cacti

Chương 3 Triển khai ứng dụng phần mềm cacti tại Sở TT&TT tỉnh Vĩnh Phúc

CHƯƠNG 1: TỔNG QUAN VỀ GIÁM SÁT AN NINH MẠNG

VÀ HỆ THỐNG GIÁM SÁT AN NINH MẠNG 1.1 Tổng quan giám sát an ninh mạng

Hệ thống giám sát an toàn mạng đóng vai trò quan trọng, không thể thiếu trong hạ tầng công nghệ thông tin (CNTT) của các cơ quan, đơn vị, tổ chức Hệ thống này cho phép thu thập, chuẩn hóa, lưu trữ và phân tích tương quan toàn bộ các sự kiện an toàn mạng được sinh ra trong hệ thống CNTT của

- Các yếu tố cơ bản của giám sát:

Để công tác giám sát an toàn mạng đạt hiệu quả cần phải xác định được các yếu tố cốt lõi, cơ bản nhất của giám sát như:

Xác định các đơn vị, hệ thống, thiết bị, dịch vụ cần giám sát

Xác định trang thiết bị, giải pháp phần mềm thương mại phục vụ giám sát

Xác định phần mềm nội bộ và phần mềm nguồn mở phục vụ giám sát

- Các giải pháp công nghệ giám sát an toàn mạng

Hệ thống giám sát an toàn mạng có thể được xây dựng theo một trong

ba giải pháp sau:

Giải pháp quản lý thông tin an ninh: tập trung vào việc thu thập, lưu trữ

và biểu diễn nhật ký

Giải pháp quản lý sự kiện an ninh: tập trung vào việc phân tích và xử lý các nhật ký đã được thu thập để đưa ra cảnh báo cho người dùng

Giải pháp quản lý và phân tích sự kiện an ninh: là sự kết hợp của cả hai giải pháp trên nhằm khắc phục những hạn chế vốn có Vì vậy, tài liệu sẽ hướng tới xây dựng giải pháp này

1.2 Mục tiêu, lợi ích của giám sát thông tin hệ thống

1.2.1 Mục tiêu

Hệ thống giám sát an toàn mạng đóng vai trò quan trọng, không thể thiếu trong hạ tầng công nghệ thông tin (CNTT) của các cơ quan, đơn vị, tổ chức Hệ thống này cho phép thu thập, chuẩn hóa, lưu trữ và phân tích tương quan toàn bộ các sự kiện an toàn mạng được sinh ra trong hệ thống CNTT của

1.2.2 Lợi ích của việc giám sát thông tin hệ thống

Các tổ chức khác nhau sử dụng giám sát hệ thống với mục đích khác nhau, do đó lợi ích thu được cũng khác nhau Có ba lợi ít lớn nhất của việc giám sát thông tin hệ thống:

- Quản lý tập trung

- Giám sát an toàn mạng

- Cải thiện hiệu quả trong hoạt động xử lý sự cố

1.3 Tình hình an ninh mạng trong nước và quốc tế

Theo số liệu thống kê, số vụ tấn công trên mạng và các vụ xâm nhập hệ thống công nghệ thông tin nhằm do thám, trục lợi, phá hoại dữ liệu, ăn cắp tài sản, cạnh tranh không lành mạnh và một số vụ việc mất an toàn thông tin số khác đang gia tăng ở mức báo động về số lượng, đa dạng về hình thức, tinh vi hơn về công nghệ Các cơ quan chức năng, đặc biệt là Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) thuộc Bộ Thông tin và Truyền thông liên tục ra cảnh báo về các nguy cơ, mối đe dọa mất an toàn thông tin và các

Chỉ trong 9 tháng đầu năm 2015, đã phát hiện hơn 3.296.200 địa chỉ IP

bị nhiễm mã độc và bị điều khiển bởi các máy chủ bên ngoài lãnh thổ, 18.085 website bị nhiễm mã độc và lây lan mã độc đến các máy tính trong mạng, trong đó có 88 website/Cổng thông tin điện tử của các Cơ quan nhà nước, 5.368 website bị tấn công và cài mã l a đảo phishing, 7.421 tấn công thay đổi giao diện (deface), trong đó có 164 website/Cổng thông tin điện tử của các Cơ quan nhà nước

Trước đó, thống kê của Cục An toàn thông tin cho thấy, trong tháng 7/2015 có 1.007 máy chủ và 2.198 website bị hacker tấn công với mục đích gửi thư rác

Ngoài các nguy cơ tấn công vào website, tình hình lây lan mã độc vô cùng nguy hiểm Theo thông tin của Cục An toàn thông tin Việt Nam năm

2014, Việt Nam nằm trong danh sách các quốc gia có tỉ lệ lây nhiễm phần mềm độc hại cao trên thế giới, với tỷ lệ là 66% máy tính bị lây nhiễm Việt Nam gặp phải khoảng hơn 8.000 cuộc tấn công thay đổi giao diện đối với các

hệ thống có tên miền “.vn”, trong số đó có hơn 200 cuộc tấn công vào các hệ thống có tên miền “.gov.vn” Tuy nhiên, hơn 60% số cơ quan, tổ chức của Việt Nam không hề có khả năng ghi nhận, cảnh báo hành vi dò quét, thử tấn công nhằm vào hệ thống thông tin của mình

Theo Báo cáo Chỉ số An toàn thông tin mạng toàn cầu của ITU, Việt Nam đứng thứ 76 trên tổng số 196 quốc gia được đánh giá, với chỉ số 0.324, cao hơn mức trung bình của thế giới (0.28) Riêng tại khu vực châu Á - Thái Bình Dương, trong số 40 quốc gia, vùng lãnh thổ được ITU đánh giá thì Việt Nam có chỉ số ATTT mạng xếp thứ 17

Các loại tấn công điển hình đặc biệt nguy hiểm phải kể đến:

Lộ lọt các thông tin nhạy cảm, bí mật trong quá trình soạn thảo, trao đổi tài liệu

Hòm thư điện tử bị ăn cắp mật khẩu để truy cập trái phép thư điện tử, gửi thư mạo danh

Mất quyền kiểm soát các hệ thống thông tin, bị tin tặc cướp quyền điều khiển máy tính cá nhân, máy chủ Bị tin tặc tấn công thay đổi giao diện, đưa thông tin vi phạm pháp luật lên hệ thống

Cài đặt mã độc để thường xuyên ăn cắp thông tin hoặc điều khiến trái phép

Kết quả nghiên cứu, khảo sát cũng cho thấy nhiều hệ thống công nghệ thông tin của các cơ quan nhà nước và doanh nghiệp, đặc biệt là các Cổng, trang thông tin điện tử có nhiều điểm yếu về an toàn thông tin, chưa được áp dụng các giải pháp đảm bảo an toàn và bảo mật thông tin phù hợp dẫn đến tình trạng bị tin tặc lợi dụng, khai thác, chiếm quyền điều khiển, thay đổi và đăng tải các nội dung không lành mạnh v.v

Điển hình có thể kể đến các đợt tấn công nguy hiểm như đợt tấn công

t ngày 30/5/2015 đến ngày 04/06/2015, hàng trăm website Việt Nam bị nhóm tin tặc 1937cn tấn công, trong đó số website tên miền “.gov.vn” và

“.edu.vn” có tên trong danh sách các trang web bị tin tặc tấn công lần lượt là

28 và 140 trang Nhóm tin tặc 1937cn đã tấn công thay đổi giao diện đưa các thông điệp liên quan đến xung đột trên Biển Đông giữa Trung Quốc và các nước ASEAN như Việt Nam, Philippines Trong đợt tấn công này, nhóm tin tặc 1937cn vẫn sử dụng thủ đoạn tấn công trước đó là khai thác lỗ hổng trên phần mềm mã nguồn mở FCKeditor (trình hỗ trợ soạn thảo văn bản) trên website Mặc dù Trung tâm VNCERT đã tiến hành cảnh báo lỗ hổng này nhiều lần nhưng các đơn vị chủ quản website vẫn không khắc phục triệt để dẫn đến liên tục có tên trong danh sách bị tấn công

Qua đó cho thấy những lỗ hổng tồn tại trên website, Cổng thông tin chủ yếu xuất phát t việc thiếu quy trình kiểm tra đánh giá cũng như kinh nghiệm về lập trình an toàn./

1.4 Thực trạng và nhu cầu giám sát an ninh mạng tại sở TT&TT Vĩnh Phúc

Theo chỉ đạo của Tỉnh ủy, UBND tỉnh Sở TT&TT Vĩnh Phúc là đơn vị quản lý hạ tầng CNTT-TT dùng chung của tỉnh, thực hiện liên kết, tích hợp

kỹ thuật, vận hành, bảo đảm an toàn, bảo mật cho hệ thống CNTT toàn tỉnh

Sở TT&TT Vĩnh Phúc đã phối hợp với các cơ quan, đơn vị thực hiện tích hợp tòan bộ các cơ sở dữ liệu, phần mềm dùng chung của tỉnh tại Sở TT&TT Vĩnh Phúc, các hệ thống thông tin lớn của tỉnh đã được đưa về vận hành, lưu trữ, đảm bảo an toàn, an ninh thông tin tại đây Trong thời gian tới

sẽ tích hợp thêm các hệ thống thông tin Một cửa điện tử, Quản lý cán bộ công chức, Báo Vĩnh Phúc, Dữ liệu truyền hình

Hoạt động của hệ thống được duy trì kỹ thuật 24/7, quản lý 70 tên miền;

1024 địa chỉ IP; đảm bảo an tòan, bảo mật, đường truyền, máy chủ, lưu trữ, sao lưu dự phòng thảm họa cho: Cổng thông tin – Giao tiếp điện tử của tỉnh; 30 cổng thông tin điện tử thành phần; Phần mềm quản lý văn bản và điều hành cho

34 đơn vị của tỉnh; Hệ thống thư điện tử của tỉnh; Cơ sở dữ liệu GIS nền, GIS viễn thông, Web GIS của tỉnh và 15 ứng dụng, cơ sở dữ liệu chuyên ngành khác của các cơ quan, đơn vị

Sở TT&TT Vĩnh Phúc tỉnh Vĩnh Phúc đã khởi tạo, cấp phát và duy trì gần 8000 tài kh an người dùng; 8000 hộp thư điện tử sử dụng tên miền

@vinhphuc.gov.vn cho cán bộ, công chức, viên chức của các cơ quan trong

hệ thống chính trị của tỉnh Mặc dù hệ thống thư điện tử công vụ đang được bảo về bằng phần mềm chống spam thư rác, virus, malware, spyware của Trendmicro nhưng nhiều tài khoản vẫn bị nhiễm thư rác và virus, chưa thể phòng chống triệt để Phần mềm trendmicro chưa thể quét hết được các lỗ hổng, tài khoản đặt mật khẩu yếu, đưa ra các cảnh bảo nhắc nhở về điểm yếu của hệ thống thư công vụ để có thể khắc phục

Cổng thông tin – Giao tiếp điện tử của tỉnh, 30 cổng thông tin điện tử thành phần, Phần mềm quản lý văn bản và điều hành cho 34 đơn vị của tỉnh,

là các ứng dụng dùng chung của tỉnh sử dụng trên môi trường web được cài đặt trên các máy chủ của Sở TT&TT Vĩnh Phúc

T đầu năm 2014 Sở TT&TT Vĩnh Phúc đã tham mưu với Sở và UBND tỉnh đồng ý kết nối 32 đơn vị sở, ban, ngành, huyện thành thị kết nối mạng LAN với hệ thống mạng lõi của Sở TT&TT Vĩnh Phúc qua đường truyền số liệu chuyên dùng thành mạng diện rộng của tỉnh Hiện tại, cùng một lúc có hàng trăm người sử dụng t các sở, ban, ngành vào Sở TT&TT Vĩnh Phúc, do vậy việc khi sẩy ra vấn đền an ninh mạng là ảnh hưởng tới nhất nhiều người dùng tại các cơ quan, đơn vị trong hệ thống chính trị của tỉnh

Có thể nói, Sở TT&TT Vĩnh Phúc cơ bản đã đáp ứng được việc cung cấp hạ tầng CNTT cho các ứng dụng dùng chung của tỉnh và chuyên ngành của các cơ quan, đơn vị Tuy nhiên, còn tiềm ần nhiều nguy cơ mất an toàn,

an ninh thông tin Hệ thống mạng và các ứng dụng này chưa có hệ thống giám sát an ninh mạng chuyên dụng Do đó các ứng dụng trên vẫn có rất nhiều nguy cơ tiềm ẩn về an toàn an ninh mạng, các hệ thống này cần phải được giám sát bởi phần mềm giám sát mạng để có thể phát hiện sớm các rủi ro về an ninh mạng, bảo đảm hệ thống CNTT tại Sở TT&TT Vĩnh Phúc có thể hoạt động tốt 24/7

1.5 Cấu trúc, chức năng của hệ thống giám sát an ninh mạng

Hệ thống giám sát sử dụng hai phương thức “Poll” và “Alert”, nhiều phần mềm và giao thức được xây dựng dựa trên 2 phương thức này, trong đó có SNMP

Phương thức Poll:

Nguyên tắc hoạt động: Máy chủ giám sát sẽ thường xuyên h i thông tin của thiết bị cần giám sát Nếu máy giám sát không h i thì thiết bị không trả lời, nếu máy giám sát h i thì thiết bị phải trả lời Bằng cách h i thường xuyên, máy giám sát sẽ luôn cập nhật được thông tin mới nhất t thiết bị

Máy chủ giám sát Thiết bị (Device)

Nguyên tắc hoạt động: Mỗi khi trong thiết bị xảy ra một sự kiện (event) nào

đó thì thiết bị sẽ tự động gửi thông báo cho máy giám sát, gọi là Alert Máy giám sát không h i thông tin định kỳ t thiết bị

Thiết bị chỉ gửi những thông báo mang tính sự kiện chứ không gửi những thông tin thường xuyên thay đổi, nó cũng sẽ không gửi Alert nếu chẳng có sự kiện

gì xảy ra Chẳng hạn khi một port down/up thì thiết bị sẽ gửi cảnh báo, còn tổng

số byte truyền qua port đó sẽ không được thiết bị gửi đi vì đó là thông tin thường xuyên thay đổi Muốn lấy những thông tin thường xuyên thay đổi thì máy giám sát phải chủ động đi h i thiết bị, tức là phải thực hiện phương thức Poll

1.6 Giao thức SNMP

1.6.1 Giới thiệu

SNMP là “giao thức quản lý mạng đơn giản”, dịch t cụm t “Simple Network Management Protocol” Giao thức là một tập hợp các thủ tục mà các bên tham gia cần tuân theo để có thể giao tiếp được với nhau Trong lĩnh vực thông tin, một giao thức quy định cấu trúc, định dạng (format) của dòng dữ liệu trao đổi với nhau và quy định trình tự, thủ tục để trao đổi dòng dữ liệu đó Nếu một bên tham gia gửi dữ liệu không đúng định dạng hoặc không theo trình tự thì các bên khác sẽ không hiểu hoặc t chối trao đổi thông tin SNMP là một giao thức, do đó

nó có những quy định riêng mà các thành phần trong mạng phải tuân theo Một thiết bị hiểu được và hoạt động tuân theo giao thức SNMP được gọi là “có hỗ trợ SNMP” (SNMP supported) hoặc “tương thích SNMP” (SNMP compartible) SNMP dùng để quản lý, nghĩa là có thể theo dõi, có thể lấy thông tin, có thể được thông báo, và có thể tác động để hệ thống hoạt động như ý muốn VD một số khả năng của phần mềm SNMP :

+ Theo dõi tốc độ đường truyền của một router, biết được tổng số byte đã truyền/nhận

+ Lấy thông tin máy chủ đang có bao nhiêu ổ cứng, mỗi ổ cứng còn trống bao nhiêu

+ Tự động nhận cảnh báo khi switch có một port bị down

+ Điều khiển tắt (shutdown) các port trên switch SNMP dùng để quản lý mạng, nghĩa là nó được thiết kế để chạy trên nền TCP/IP và quản lý các thiết bị

có nối mạng TCP/IP Các thiết bị mạng không nhất thiết phải là máy tính mà có thể là switch, router, firewall, adsl gateway, và cả một số phần mềm cho phép quản trị bằng SNMP Giả sử bạn có một cái máy giặt có thể nối mạng IP và nó hỗ trợ SNMP thì bạn có thể quản lý nó t xa bằng SNMP SNMP là giao thức đơn giản, do nó được thiết kế đơn giản trong cấu trúc bản tin và thủ tục hoạt động,

và còn đơn giản trong bảo mật (ngoại tr SNMP version 3) Sử dụng phần mềm SNMP, người quản trị mạng

1.6.2 Các phiên bản giao thức SNMP

SNMP có 4 phiên bản : SNMPv1, SNMPv2c, SNMPv2u và SNMPv3 Các phiên bản này khác nhau một chút ở định dạng bản tin và phương thức hoạt động Hiện tại SNMPv1 là phổ biến nhất do có nhiều thiết bị tương thích nhất và có nhiều phần mềm hỗ trợ nhất Trong khi đó chỉ có một số thiết bị và phần mềm hỗ trợ SNMPv3

1.6.3 c t c v của a t ức

Theo RFC1157 2, kiến trúc của SNMP bao gồm 2 thành phần : các trạm quản lý mạng (network management station) và các thành tố mạng (network element) Network management station thường là một máy tính chạy phần mềm quản lý SNMP (SNMP management application), dùng để giám sát và điều khiển tập trung các network element

Network element là các thiết bị, máy tính, hoặc phần mềm tương thích SNMP và được quản lý bởi network management station Như vậy element bao gồm device, host và application Một management station có thể quản lý nhiều element, một element cũng có thể được quản lý bởi nhiều management station Vậy nếu một element được quản lý bởi 2 station thì điều gì sẽ xảy ra ? Nếu station lấy thông tin t element thì cả 2 station sẽ có thông tin giống nhau Nếu 2 station tác động đến cùng một element thì element sẽ đáp ứng cả 2 tác động theo thứ tự cái nào đến trước Ngoài ra còn có khái niệm SNMP agent SNMP agent là một tiến trình (process) chạy trên network element, có nhiệm vụ cung cấp thông tin của element cho station, nhờ đó station có thể quản lý được element Chính xác hơn là application chạy trên station và agent chạy trên element mới là 2 tiến trình

SNMP trực tiếp liên hệ với nhau Các ví dụ minh họa sau đây sẽ làm rõ hơn các khái niệm này:

Hình 1.1 Minh họa SNMP

+ Để dùng một máy chủ (= station) quản lý các máy con (= element) chạy HĐH Windows thông qua SNMP thì bạn phải : cài đặt một phần mềm quản lý SNMP (= application) trên máy chủ, bật SNMP service (= agent) trên máy con

+ Để dùng một máy chủ (= station) giámsát lưu lượng của một router (= element) thì bạn phải : cài phần mềm quản lý SNMP (= application) trên máy chủ, bật tính năng SNMP (= agent) trên router

1.6.4 Cấu trúc v đặc đ ểm của thông tin quản lý SMI

MIB (cơ sở thông tin quản lý) là một cấu trúc dữ liệu gồm các đối tượng được quản lý (managed object), được dùng cho việc quản lý các thiết bị chạy trên nền TCP/IP MIB là kiến trúc chung mà các giao thức quản lý trên TCP/IP nên tuân theo, trong đó có SNMP MIB được thể hiện thành 1 file (MIB file), và có thể biểu diễn thành 1 cây (MIB tree) MIB có thể được chuẩn hóa hoặc tự tạo Hình sau minh họa MIB tree :

Một node trong cây là một object, có thể được gọi bằng tên hoặc id Ví dụ :+ Node iso.org.dod.internet.mgmt.mib-2.system có OID là 1.3.6.1.2.1.1, chứa tất

cả các object liên quan đến thông tin của một hệ thống như tên của thiết bị (iso.org.dod.internet.mgmt.mib-2.system.sysName hay 1.3.6.1.2.1.1.5)

đó Các objectID trong MIB được sắp xếp thứ tự nhưng không phải là liên tục, khi biết một OID thì không chắc chắn có thể xác định được OID tiếp theo trong MIB

VD trong chuẩn mib-2 6 thì object ifSpecific và object atIfIndex nằm kề nhau nhưng OID lần lượt là 1.3.6.1.2.1.2.2.1.22 và 1.3.6.1.2.1.3.1.1.1 Muốn hiểu được một OID nào đó thì bạn cần có file MIB mô tả OID đó Một MIB file không nhất thiết phải chứa toàn bộ cây ở trên mà có thể chỉ chứa mô tả cho một nhánh con Bất cứ nhánh con nào và tất cả lá của nó đều có thể gọi là một mib

Một manager có thể quản lý được một device chỉ khi ứng dụng SNMP manager và ứng dụng SNMP agent cùng hỗ trợ một MIB Các ứng dụng này cũng

có thể hỗ trợ cùng lúc nhiều MIB

1.6.5 c cơ c ế bảo mật SNMP

Một SNMP management station có thể quản lý/giám sát nhiều SNMP element, thông qua hoạt động gửi request và nhận trap Tuy nhiên một SNMP element có thể được cấu hình để chỉ cho phép các SNMP management station nào

đó được phép quản lý/giám sát mình Các cơ chế bảo mật đơn giản này gồm có: community string, view và SNMP access control list

Community string

Community string là một chuỗi ký tự được cài đặt giống nhau trên cả SNMP manager và SNMP agent, đóng vai trò như “mật khẩu” giữa 2 bên khi trao đổi dữ liệu Community string có 3 loại : Read-community, Write-Community và Trap-Community Khi manager gửi GetRequest, GetNextRequest đến agent thì trong bản tin gửi đi có chứa ReadCommunity Khi agent nhận được bản tin request thì nó sẽ so sánh Read-community do manager gửi và Read-community

mà nó được cài đặt Nếu 2 chuỗi này giống nhau, agent sẽ trả lời; nếu 2 chuỗi này khác nhau, agent sẽ không trả lời Write-Community được dùng trong bản tin SetRequest Agent chỉ chấp nhận thay đổi dữ liệu khi writecommunity 2 bên

giống nhau

Trap-community nằm trong bản tin trap của trap sender gửi cho trap receiver Trap receiver chỉ nhận và lưu trữ bản tin trap chỉ khi trap-community 2 bên giống nhau, tuy nhiên cũng có nhiều trap receiver được cấu hình nhận tất cả bản tin trap

mà không quan tâm đến trap-community Community string có 3 loại như trên nhưng cùng một loại có thể có nhiều string khác nhau Nghĩa là một agent có thể khai báo nhiều read-community, nhiều write-community Trên hầu hết hệ thống, read-community mặc định là “public”, write-community mặc định là “private” và trap-community mặc định là “public” Community string chỉ là chuỗi ký tự dạng cleartext, do đó hoàn toàn có thể bị nghe lén khi truyền trên mạng Hơn nữa, các community mặc định thường là “public” và “private” nên nếu người quản trị không thay đổi thì chúng có thể dễ dàng bị dò ra Khi community string trong mạng bị lộ, một người dùng bình thường tại một máy tính nào đó trong mạng có thể quản lý/giám sát toàn bộ các device có cùng community mà không được sự cho phép của người quản trị

View

Khi manager có read-community thì nó có thể đọc toàn bộ OID của agent Tuy nhiên agent có thể quy định chỉ cho phép đọc một số OID có liên quan nhau, tức là chỉ đọc được một phần của MIB Tập con của MIB này gọi là view, trên agent có thể định nghĩa nhiều view Ví dụ : agent có thể định nghĩa view interfaceView bao gồm các OID liên quan đến interface, storageView bao gồm các OID liên quan đến lưu trữ, hay AllView bao gồm tất cả các OID Một view phải gắn liền với một community string Tùy vào community string nhận được là

gì mà agent xử lý trên view tương ứng Ví dụ : agent định nghĩa read-community

“inf” trên view interfaceView, và “sto” trên storageView; khi manager gửi request lấy OID ifNumber với community là “inf” thì sẽ được đáp ứng do ifNumber nằm trong interfaceView; nếu manager request OID hrStorageSize với community

“inf” thì agent sẽ không trả lời do hrStorageSize không nằm trong interfaceView; nhưng nếu manager request hrStorageSize với community “sto” thì sẽ được trả lời

do hrStorageSize nằm trong storageView Việc định nghĩa các view như thế nào tùy thuộc vào t ng SNMP agent khác nhau Có nhiều hệ thống không hỗ trợ tính năng view

SNMP access control list

Khi manager gửi không đúng community hoặc khi OID cần lấy lại không nằm trong view cho phép thì agent sẽ không trả lời Tuy nhiên khi community bị

lộ thì một manager nào đó vẫn request được thông tin Để ngăn chặn hoàn toàn các SNMP manager không được phép, người quản trị có thể dùng đến SNMP access control list (ACL) SNMP ACL là một danh sách các địa chỉ IP được phép quản lý/giám sát agent, nó chỉ áp dụng riêng cho giao thức SNMP và được cài trên agent Nếu một manager có IP không được phép trong ACL gửi request thì agent sẽ không xử lý, dù request có community string là đúng Đa số các thiết bị tương thích SNMP đều cho phép thiết lập SNMP ACL

1.6.6 Ưu v ược đ ểm của SNMP

SNMP được thiết kế để đơn giản hóa quá trình quản lý các thành phần trong mạng Nhờ đó các phần mềm SNMP có thể được phát triển nhanh và tốn ít chi phí SNMP được thiết kế để có thể mở rộng các chức năng quản lý, giám sát Không có giới hạn rằng SNMP có thể quản lý được cái gì Khi có một thiết bị mới với các thuộc tính, tính năng mới thì người ta có thể thiết kế “custom” SNMP để phục vụ cho riêng mình SNMP được thiết kế để có thể hoạt động độc lập với các kiến trúc và cơ chế của các thiết bị hỗ trợ SNMP Các thiết bị khác nhau có hoạt động khác nhau nhưng đáp ứng SNMP là giống nhau VD có thể dùng 1 phần mềm để theo dõi dung lượng ổ cứng còn trống của các máy chủ chạy HĐH Windows và Linux; trong khi nếu không dùng SNMP mà làm trực tiếp trên các HĐH này thì bạn phải thực hiện theo các cách khác nhau

1.7 Một số phần mềm giám sát mạng sử dụng giao thức SNMP

1.7.1 Nagios

T khi ra đời 1999 đến nay Nagios đã liên tục phát triển và rất được quan tâm Cộng đồng quan tâm và sử dụng Nagios cho đến nay theo thống kê của http://nagios.org là vào khoảng hơn 300.000 người T phiên bản 1.0 đầu tiên, đến nay Nagios đã phát triển nên phiên bản 3.x và vẫn liên tục cho ra những phiên bản mới với tính năng mạnh mẽ hơn Đặc biệt Nagios có khả năng phân tán Vì vậy nó

có thể giám sát các mạng khổng lồ, đạt cỡ 100.000 node

1.7.2 OpenNMS

OpenNMS là một phần mềm mã nguồn mở chuyên về quản lý hệ thống mạng Không giống như các sản phẩm quản lý mạng truyền thống tập trung vào các yếu tố mạng chẳng hạn như giao diện trên switch và router, OpenNMS tập trung vào các dịch vụ tài nguyên mạng cung cấp: các trang web, truy cập cơ sở dữ liệu, DNS, DHCP OpenNMS dùng hai cách lấy dữ liệu về hệ thống mạng Đầu tiên là thông qua b phiếu Quá trình này được gọi là kết nối với một tài nguyên mạng và thực hiện kiểm tra xem các tài nguyên có đáp ứng yêu cầu không Nếu không, các sự kiện sẽ được tạo ra Cách thứ hai là thông qua thu thập dữ liệu sử dụng thu gom t hệ thống mạng Hiện nay dữ liệu có thể được thu thập bằng cách: SNMP,

NSClient (Nagios Agent),

SNMP (một bộ phần mềm ứng dụng để thực hiện SNMP-Simple Network Management Protocol) Ian Berry đã bắt đầu phát triển Cacti trong năm 2001, trong khi ông làm việc với một nhà cung cấp dịch vụ Internet địa phương ở Hoa

Kỳ Ông thấy rằng RRDTool là đủ linh hoạt để tạo ra đồ họa phức tạp và các báo cáo về hạ tầng mạng, nhưng nó đã thiếu một giao diện thân thiện Vì vậy, ông bắt đầu phát triển giao diện với PHP / MySQL và đã phát hành công khai lần đầu (phiên bản 0,6) về Ngày 21 Tháng 11 Năm 2001 Ngay sau đó, các ứng dụng của

nó trở nên phổ biến trong cộng đồng nguồn mở

1.7.4 So sánh, phân tích đ các công cụ giám sát mạng

Các đặc điểm của phần mềm Nagios:

• Giám sát trạng thái hoạt động của các dịch vụ mạng (SMTP, POP3, IMAP, HTTP, ICMP, FTP, SSH, DHCP, LDAP, DNS, name server, web proxy, TCP port, UDP port, cở sở dữ liệu: mysql, portgreSQL, oracle)

• Giám sát các tài nguyên các máy phục vụ và các thiết bị đầu cuối (chạy hệ điều hành Unix/Linux, Windows, Novell netware): tình trạng sử dụng CPU, người dùng đang log on, tình trạng sử dụng ổ đĩa cứng, tình trạng sử dụng bộ nhớ trong

và swap, số tiến trình đang chạy, các tệp log hệ thống

• Giám sát các thông số an toàn thiết bị phần cứng trên host như: nhiệt độ CPU, tốc độ quạt, pin, giờ hệ thống…

• Giám sát các thiết bị mạng có IP như router, switch và máy in Với Router,

Switch, Nagios có thể theo dõi được tình trạng hoạt động, trạng thái bật tắt của

t ng cổng, lưu lượng băng thông qua mỗi cổng, thời gian hoạt động liên tục (Uptime) của thiết bị Với máy in, Nagios có thể nhận biết được nhiều trạng thái, tình huống sảy ra như kẹt giấy, hết mực…

• Cảnh báo cho người quản trị bằng nhiều hình thức như email, tin nhắn tức thời (IM), âm thanh …nếu như có thiết bị, dịch vụ gặp trục trặc

• Các hoạt động kiểm tra được thực hiện bởi các plugin cho máy phục vụ Nagios và các mô đun client trên các thiết bị của người dùng cuối, Nagios chỉ định

kỳ nhận các thông tin t các plugin và xử lý những thông tin đó (thông báo cho người quản lý, ghi vào tệp log, hiển thi lên giao diện web…)

• Thiết kế plugin đơn giản cho phép người dùng có thể tự định nghĩa và phát triển các plugin kiểm tra các dịch vụ theo nhu cầu riêng bằng các công cụ lập trình như shell scripts, C/C++, Perl, Ruby, Python, PHP, C#

• Có khả năng kiểm tra song song trạng thái hoạt động của các dịch vụ( đồng thời kiểm tra nhiều dịch vụ)

• Hỗ trợ khai báo kiến trúc mạng Nagios không có khả năng nhật dạng được topo của mạng toàn bộ các thiết bị, dịch vụ muốn được giám sát đều phải khai báo và định nghĩa trong cấu hình

• Gửi thông báo đến người/nhóm người được chỉ định sẵn khi dịch vụ/host được giám sát gặp vấn đề và khi chúng khôi phục hoạt động bình thường.(qua e-mail, pager, SMS, IM…)

• Khả năng định nghĩa bộ xử lý sự kiện thực thi ngay khi có sự kiện sảy ra với host/ dịch vụ•

Các đặc điểm của phần mềm OpenNMS:

- OpenNMS có tất cả các chức năng tương tự phần mềm Nagios

- Điểm khác biết giữa OpenNMS với Nagios là được phát triển trên nền tảng Java, nó chỉ chạy t phiên bản Java SDK t phiên bản 1.6 trở về sau Phần mềm này có tất cả các phiên bản dành cho các hệ điều hành Windows, Solaris, OS

X

Các đặc điểm của phần mềm Cacti:

Mặc định Cacti hầu hết các tính năng của hai phần mềm Nagios và OpenNMS, Cacti có thể hiển thị các thông số thu được dưới dạn đồ thị lưu lượng trong phần Graph Một đặc điểm quan trọng của Cacti là cho phép tích hợp nhiều thành phần khác, cũng như nhiều phần mềm khác vào nó Đây là một đặc điểm quan trọng cho việc thực hiện ý tưởng thực hiện trong luận văn này là tạo nên một

hệ thống tích hợp hỗ trợ trong việc giám sát mạng Trong luận văn này, tích hợp thêm một số thành phần sau vào Cacti:

- Realtime: hỗ trợ Cacti lấy thông tin theo thời gian thực – lập lịch cho chương trình lấy thông tin t các thiết bị mạng cần giám sát

- Update: hỗ trợ cập nhật các phiên bản mới t Internet

- Settings: Tích hợp thêm một số công cụ cấu hình các tính năng nâng cao

- Manage: Giám sát tình trạng các thiết bị mạng Phát báo động bằng âm thanh khi một host ngưng hoạt động

- Weathermap: cho phép vẽ sơ đồ mạng và giám sát lưu lượng giữa các thiết bị mạng trong hệ thống

- BASE: Giám sát Snort bằng giao diện Web

- SSL: sử dụng port 443 (https) khi truy xuất vào Cacti

CHƯƠNG 2: NGHIÊN CỨU TÌM HIỂU PHẦN MỀM CACTI 2.1 Lý do chọn phần mềm Cacti

Công cụ giám sát an ninh mạng là các ứng dụng được phát triển để theo dõi tình trạng của hệ thống, hiện nay trên thế giới có nhiều bộ công cụ chia làm nhiều nhóm có những chức năng riêng

Tuy nhiên, những công cụ giám sát phải được toàn diện, tình trạng của hệ thống phải được cập nhật thường xuyên 24/7 Phải hỗ trợ nhiều giao thức trong đó

có giao thức SNMP, dễ dàng phát triển, dễ sử dụng, cài đặt đơn giản…

Hiện nay, có rất nhiều giải pháp mã nguồn mở tự do cho phép triển khai giám sát, phát hiện và chống xâm nhập mạng rất hiệu quả như Nagios, Cacti, Zabbix, OpenNMS… Trong đó Cacti là giải pháp mã nguồn mở với nhiều chức năng mạnh mẽ cho phép quản lý bang thông kết nối, tình trạng hoạt động của các thiết

bị và trạng thái của các dịch vụ trong hệ thống mạng Nhiều tính năng trên Cacti còn được đánh giá cao hơn các sản phẩm thương mại

Dựa vào các tiêu chí đó, luận văn nghiên cứu, phân tích, đánh giá bộ công cụ điển hình là Cacti

2.2 Chức năng của phần mềm Cacti

Chức năng biểu đồ: Hầu như tất cả các mọi thứ trong Cacti điều liên quan

đến biểu đồ Kể t khi Cacti cung cấp giao diện người dùng thân thiện với RRD

mà không yêu cầu phải hiểu RRD làm việc ra sao Với cơ chế này, mỗi biểu đồ trong Cacti điều được cài đặt và có ít nhất một công cụ biểu đồ liên kết với nó Vì vậy, các công cụ xác định dữ liệu để hiển thị và xác định những gì sẽ được hiển thị trên chú giải của biểu đồ

Trong hình 2.1 là biểu đồ thể hiện băng thông của cổng Fa0/1.80 trên thiết bị switch và được đo bằng bit/s Trục tung thể hiện lượng dữ liệu, trục hoành chỉ thời gian theo dõi Màu xanh lá thể hiện dữ liệu đi vào cổng, màu xanh ra trời chỉ dữ liệu đi ra

Hình 2.1 Biểu đồ băng thông của cổng mạng

Cacti hỗ trợ nhiều kiểu biểu đồ cũng như nhiều dạng dữ liệu, có thể theo dõi lưu lượng theo phút, giờ, ngày, tháng Hoặc theo dõi lưu lượng trong một khoảng thời gian cũng như hiệu năng CPU và các thông số khác của hệ thống

Thu thập dữ liệu: Cacti có chức năng “data input” cho phép người dùng định

nghĩa các đoạn mã sử dụng để thu thập dữ liệu Mỗi đoạn mã chứa các tham số phải được nhập vào ( ví dụ địa chỉ IP) để có thể thu thập dữ liệu Hỗ trợ các phiên bản của giao thức SNMP, sử dụng SNMP hoặc các đoạn mã viết sẵn để thu thập

dữ liệu Việc sử dụng SNMP giúp Cacti có thể thu tạp dữ liệu t bất cứ thiết bị nào hỗ trợ SNMP

Giám sát băng thông liên kết trên topo mạng tổng thể: Cacti có chức năng

thiết lập một topo mạng tổng thể, dựa vào đó, người quản lý có thể theo dõi tình trạng băng thông giữa các thiết bị, phát hiện những lưu lượng bất thường như tấn công DDOS t bên ngoài hoặc những mỗi nguy t bên trong và xử lý kịp thời

Trong hình 2.2 là bản đồ trạng thái của một hệ thống, các liên kết giữa các thiết bị được thể hiện bằng màu sắc cụ thể, các màu sắc được quy định cụ thể lưu lượng theo % trong biểu đồ Ví dụ màu cam là lưu lượng đạt t 55-70% như vậy nếu liên kết có thay đổi màu sắc đậm hơn, cụ thể nếu chuyển sang màu đ một các đột ngột nghĩa là có lưu lượng bất thường trong hệ thống, hoặc hệ thống đang bị tấn công

Hình 2.2 Biểu đồ băng thông của hệ thống

Giám sát trạng thái của thiết bị: Khi giám sát hoạt động mạng bằng Cacti, người quản trị có thể theo dõi trạng thái hoạt động của các thiết bị Cacti sẽ ping liên tục tới các thiết bị được giám sát để theo dõi trạng thái các thiết bị, nếu thiết bị không có phản hồi nó sẽ được đánh dấu là ng ng hoạt động

Trong hình 2.6 là bảng giám sát trạng thái thiết bị trong Cacti Khi một thiết bị đang hoạt động bình thường phần mềm sẽ thể hiện thiết bị đó bằng màu xanh lá cây Nếu thiết bị ng ng hoạt động hoặc không có phản hồi nó sẽ thể hiện bằng màu đ và có thông báo bằng âm thanh Thời gian thiết bị ng ng hoạt động được thể hiện rõ ràng trong bảng

Hình 2.3 Trạng thái thiết bị

Đưa ra cảnh báo: Người quản lý có thể đặt ngưỡng cảnh báo trên mỗi thiết bị,

ví dụ khi lưu lượng trên một tuyến đạt mức 10Gbps, hệ thống sẽ gửi cảnh báo bằng tin nhắn hoặc email cho người quản lý, hoặc hiển thị trực tiếp trên màn hình Việc cấu hình tham số hoàn toàn có thể tùy chỉnh, đưa ra cảnh báo sớm giúp người quản lý xác định và tiên đoán trước rủi ro xảy đến với hệ thống mạng của mình và đưa ra phương án xử lý thích hợp

2.3 Kiến trúc của phần mềm Cacti

Cacti sử dụng phương thức Poll để thu thập dữ liệu t nhiều nguồn khác nhau Các tệp tin Round Robin Database (RRD) dùng để lưu trữ dữ liệu Poll Cơ sở dữ liệu MySQL dùng để chứa các thông số cấu hình hệ thống Giao diện người dùng chính là ứng dụng web PHP, cho phép dễ dàng quản trị mọi khía cạnh của hệ thống, cũng như tự động hiển thị các thông số trực quan trên nền đồ họa

Người dùng (người quản trị mạng) làm việc với Cacti thông qua trình duyệt web (Browser) Với trình duyệt web, người quản trị có thể khai báo các loại thiết

bị trong hệ thống mạng, thiết lập các thông số về tất cả các thiết bị cần giám sát, quản lý Các dữ liệu quản trị sẽ được lưu trữ trong các bảng dữ liệu MySQL, kết quả các dữ liệu được minh họa hiển thị dưới dạng các sơ đồ

Những thông tin mà Cacti thu thập được của người dùng thông qua các truy vấn được lưu trữ lại trong cơ sở dữ liệu MySQL để duy trì hoạt động cho những lần sau

T yêu cầu của người dùng, Cacti sẽ xử lý các dữ liệu thông qua các truy vấn

t Poller Poller liên tục lấy dữ liệu t các thiết bị cần được giám sát như: Server, router, HDD, Ram … Các dữ liệu thu thập được sẽ được lưu trữ bằng cơ sở dữ liệu xoay vòng RRD Cacti sẽ sử dụng những dữ liệu RRD để tổ hợp và biểu diễn

dữ liệu dưới dạng đồ thị

Các thành phần cài đặt chính để Cacti hoạt động là các gói phần mềm:

RRDtool, MySQL, Webserver, PHP, Net-snmp

RRDtool: Là một cơ sở dữ liệu xoay vòng dùng để lưu lại dữ liệu thu thập được t các truy vấn hỗ trợ cho việc xuất dữ liệu đồ họa

MySQL: Gói này được cài đặt giống như cơ sở dữ liệu riêng của Cacti để Cacti tùy ý sử dụng Là cơ sở dữ liệu lưu lại dữ liệu về người dùng, mật khẩu…vào kho MySQL

Webserver: Cacti được xây dựng trên nền web nên bất kỳ web server hỗ trợ PHP cũng phải cài đặt để Cacti giao tiếp như Httpd của Apache hay của Microsoft được khuyên dùng vì tính năng ổn định và phổ biến

PHP: Cacti được lập trình dựa trên ngôn ngữ PHP, do vậy muốn để Cacti hoạt động được trên hệ thống bắt buộc phải cài đặt gói PHP

Net- snmp: Gói phần mềm hỗ trợ việc sử dụng giao thức SNMP có thể được hoạt động trên Ipv4, Ipv6