Nghiên cứu các phương pháp quản trị và giám sát mạng

Nó đã trở thành một trong những lĩnh vực nghiên cứu chính về mạng máy tính và là một công việc quan trọng không thể thiếu trong các hệ thống máy tính của các tổ chức, doanh nghiệp, trườn

NGUYỄN HUY HOÀNG

NGHIÊN CỨU CÁC PHƯƠNG PHÁP QUẢN TRỊ VÀ GIÁM SÁT MẠNG

LUẬN VĂN THẠC SĨ KỸ THUẬT CÔNG NGHỆ THÔNG TIN

NGƯỜI HƯỚNG DẪN KHOA HỌC

TS PHẠM ĐĂNG HẢI

Hà Nội, 10 - 2015

MỤC LỤC

LỜI CAM ĐOAN 5

DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT 6

DANH MỤC CÁC BẢNG 6

DANH MỤC CÁC HÌNH VẼ 7

MỞ ĐẦU 9

1 Lý do chọn đề tài 9

2 Mục tiêu của đề tài 9

3 Đối tượng, phạm vi nghiên cứu 9

4 Phương pháp nghiên cứu 9

5 Bố cục Luận văn 10

CHƯƠNG I 11

LÝ THUYẾT QUẢN TRỊ VÀ GIÁM SÁT MẠNG 11

1.1 TỔNG QUAN VỀ MẠNG 11

1.1.1 Khái niệm mạng máy tính 11

1.1.2 Kiến trúc mạng máy tính 12

1.1.3 Phân loại mạng máy tính 13

1.2 LÝ THUYẾT VỀ QUẢN TRỊ MẠNG 15

1.2.1 Giới thiệu về quản trị mạng 15

1.2.2 Các chức năng của quản trị mạng 15

1.2.3 Định nghĩa một hệ quản trị mạng 16

1.2.4 Cấu hình một hệ quản trị mạng 18

1.2.5 Kiến trúc của một hệ quản trị mạng 19

1.2.6 Kiến trúc các phần mềm quản trị mạng 20

1.3 GIÁM SÁT HỆ THỐNG MẠNG 20

1.3.1 Giới thiệu về giám sát mạng (Network Security Mornitoring – NSM) 20 1.3.2 Các thành phần trong hệ thống giám sát mạng 21

1.3.3 Các giao thức trong giám sát mạng 22

1.3.4 Hệ thống cảnh báo 26

CHƯƠNG II 27

MỘT SỐ PHƯƠNG PHÁP QUẢN TRỊ VÀ GIÁM SÁT MẠNG 27

2.1 MỞ ĐẦU 27

2.2 KIẾN TRÚC CÁC HỆ QUẢN TRỊ MẠNG DỰA TRÊN SNMP 27

2.2.1 Một số khái niệm cơ bản 27

2.2.2 Các toán tử SNMP 30

2.2.3 Phương thức hoạt động của SNMP 30

2.2.4 Nguyên tắc hoạt động của SNMP 34

2.2.5 Các cơ chế bảo mật cho SNMP 35

2.3 KIẾN TRÚC CÁC HỆ QUẢN TRỊ MẠNG DỰA TRÊN XML 37

2.3.1 Giới thiệu 37

2.3.2 Các kỹ thuật liên quan đến XML 37

2.3.3 Kiến trúc quản trị mạng dựa trên XML 38

2.3.4 Quản trị mạng dựa trên XML 41

2.4 TÍCH HỢP TÁC TỬ SNMP VỚI CÁC HỆ QUẢN TRỊ MẠNG DỰA TRÊN XML 44

2.5 MỘT SỐ PHẦN MỀM GIÁM SÁT MẠNG INTERNET 46

2.5.1 Phần mềm WifiChannelMonitor 46

2.5.2 Phần mềm GlassWire 47

2.5.3 Phần mềm NetWorx 48

2.5.4 Phần mềm Cacti 48

2.5.5 Đánh giá các phần mềm 49

CHƯƠNG III 50

GIÁM SÁT LƯU LƯỢNG TRUY CẬP WIFI 50

TẠI CÔNG TY CỔ PHẦN TRUYỀN THÔNG KIM CƯƠNG 50

3.1 KHẢO SÁT THỰC TRẠNG KẾT NỐI MẠNG TẠI CÔNG TY 50

3.2 THỰC HIỆN GIÁM SÁT LƯU LƯỢNG TRUY CẬP WIFI 51

3.2.1 Phần mềm giám sát lưu lượng 51

3.2.2 Thực hiện giám sát 52

3.2.3 Kết quả giám sát 55

CHƯƠNG IV 62

KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 62

4.1 KẾT LUẬN 62

4.2 HƯỚNG PHÁT TRIỂN 63

TÀI LIỆU THAM KHẢO 66

LỜI CAM ĐOAN

Tôi xin cam đoan: Luận văn "Nghiên cứu các phương pháp quản trị và giám sát mạng" là do bản thân tôi tự thực hiện dưới sự hướng dẫn của TS Phạm Đăng Hải - Viện Công nghệ thông tin và Truyền thông - Đại học Bách khoa Hà Nội Các thông tin số liệu và kết quả trong Luận văn có nguồn gốc rõ ràng, nội dung của Luận văn chưa từng được công bố trong bất kỳ một công trình nghiên cứu nào ở trong nước

Hà Nội, tháng 10 năm 2015

Tác giả Luận văn

Nguyễn Huy Hoàng

DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT

DANH MỤC CÁC BẢNG

1 Bảng 1.1 Các loại thông điệp ICMP quan trọng nhất

2 Bảng 1.2 Mô tả kích thước gói ping trong Cisco IOS và Catalyst

3 Bảng 2.1 Hoạt động gửi/nhận tin của agent và manager

DANH MỤC CÁC HÌNH VẼ

Hình 1.1 Mô hình mạng máy tính cơ bản Error! Bookmark not defined

Hình 1.2 Mạng kết nối hình sao 12

Hình 1.3 Mạng kết nối hình Bus 12

Hình 1.4 Mạng kết nối hình vòng 13

Hình 1.5 Mạng kết nối hỗn hợp 13

Hình 1.6 Mô hình kiến trúc một hệ quản trị mạng điển hình 18

Hình 1.7 Kiến trúc một hệ quản trị mạng phân tán 19

Hình 1.8 Mô hình kiến trúc phần mềm một hệ quản trị mạng 20

Hình 1.9 Thành phần trong hệ thống giám sát mạng 21

Hình 1.10 Mô hình quản trị mạng dựa trên SNMP 25

Hình 2.1 Nút system trong cây MIB 28

Hình 2.2 Kiến trúc giao thức SNMP 30

Hình 2.3 Các gói tin của SNMP 33

Hình 2.4 Tổng quan kiến trúc quản trị mạng dựa trên XML 38

Hình 2.5 Mức quản trị thành phần EML 38

Hình 2.6 Mức quản trị thành phần NML 40

Hình 2.7 Kiến trúc WBM 43

Hình 2.8 Kiến trúc của WBM Manager 44

Hình 3.1 Giao diện làm việc của phần mềm Ming Network Monitor 52

Hình 3.2 Khởi động chương trình Ming Network Monitor 53

Hình 3.3 Danh sách các thiết bị đang truy cập vào hệ thống mạng 53

Hình 3.4 Băng thông của các thiết bị đang truy cập vào hệ thống mạng 54

Hình 3.5 Tắt tiến trình giám sát hệ thống mạng 54

Hình 3.6 Danh sách các thiết bị truy cập vào hệ thống mạng 55

Hình 3.7 Danh sách các thiết bị truy cập Internet tại thời điểm thứ nhất 56

Hình 3.8 Kết quả giám sát lưu lượng truy cập mạng giai đoạn 1 57

Hình 3.9 Lưu lượng truy cập Internet của Laptop có tên Share10 57

Hình 3.10 Lưu lượng truy cập Internet của máy TRINHPRO-PC 58

Hình 3.11 Lưu lượng truy cập Internet 59

Hình 3.12 Lưu lượng truy cập Internet của thiết bị có tên Lenovo 59

Hình 3.13 Danh sách các thiết bị truy cập hệ thống mạng tại thời điểm thứ 2 60

Hình 3.14 Lưu lượng truy cập Internet của thiết bị có tên ADMIN 60

Hình 3.15 Lưu lượng truy cập Internet của thiết bị có tên Share 61

Hình 3.16 Danh sách các thiết bị truy cập vào hệ thống mạng 62

Hình 3.17 Sơ đồ IDS 64

MỞ ĐẦU

1 Lý do chọn đề tài

Mạng máy tính đã và đang trở thành một nhu cầu tất yếu của chúng ta ngay trong cuộc sống thường ngày như phục vụ vui chơi giải trí, bên cạnh đó nó còn cung cấp nhiều dịch vụ tiện ích trong nhiều lĩnh vực kinh doanh Với nhu cầu sử dụng mạng cao như vậy, vấn đề quản trị và giám sát mạng càng được đặt lên hàng đầu

Hiện nay, khái niệm quản trị và giám mạng không còn xa lạ gì trong ngành công nghệ thông tin Nó đã trở thành một trong những lĩnh vực nghiên cứu chính về mạng máy tính và là một công việc quan trọng không thể thiếu trong các hệ thống máy tính của các tổ chức, doanh nghiệp, trường học…

Quản trị mạng có thể xem như quản lý tất cả các tài nguyên trong mạng nhằm duy trì và đảm bảo theo dõi trực quan các hoạt động của toàn bộ hệ thống mạng, cho phép quản trị mạng chủ động phát hiện sớm các sự cố về đường truyền

và dịch vụ mạng

2 Mục tiêu của đề tài

* Tìm hiểu tổng quan về quản trị và giám sát mạng

* Các phương pháp quản trị và giám sát mạng để áp dụng cho vấn đề quản trị mạng hiện nay

3 Đối tượng, phạm vi nghiên cứu

* Mạng máy tính

* Chức năng của quản trị mạng

* Kiến trúc của một hệ quản trị mạng

* Tổng hợp lý thuyết mạng máy tính, quản trị và giám sát mạng

* Thực nghiệm bằng demo phần mềm quản trị và giám sát mạng

5 Bố cục Luận văn

Luận văn gồm 04 chương:

Chương I Lý thuyết quản trị và giám sát mạng

Chương II Một số phương pháp quản trị và giám sát mạng

Chương III Giám sát lưu lượng truy cập wifi tại công ty CPTT Kim Cương Chương IV Kết luận và hướng phát triển

CHƯƠNG I

LÝ THUYẾT QUẢN TRỊ VÀ GIÁM SÁT MẠNG

1.1 TỔNG QUAN VỀ MẠNG

1.1.1 Khái niệm mạng máy tính

Mạng máy tính là tập hợp các máy tính độc lập được kết nối với nhau thông qua các đường truyền vật lý và tuân theo các quy ước truyền thông nào đó

Hình 1.1 Mô hình mạng máy tính cơ bản

Mạng máy tính ra đời xuất phát từ mong muốn chia sẽ và dùng chung dữ liệu Không có hệ thống mạng thì các máy tính độc lập muốn chia sẽ dữ liệu với nhau phải qua sao chép USB, đĩa mềm, đĩa CD, hoặc in ấn ra giấy,…Điều này gây

ra rất nhiều bất tiện cho người dùng Khi các máy tính được kết nối với nhau tạo thành một hệ thống mạng, nó cho phép các khả năng sau:

- Sử dụng chung công cụ tiện ích

- Chia sẽ kho dữ liệu dùng chung

- Trao đổi thông điệp, hình ảnh, …

- Dùng chúng các thiết bị ngoại vi như máy in, fax, modem, …

- Giảm thiểu chi phí và thời gian trao đổi dữ liệu, di chuyển dữ liệu

Để một hệ thống mạng hoạt động tốt nó bao gồm rất nhiều thành phần, hoạt động trên các nền tảng và mỗi trường khác nhau:

- Các máy trạm

- Các máy chủ

- Các thiết bị hạ tầng mạng: Router, switch, Hub…

- Các thiết bị, hệ thống phát hiện và phòng chống xâm nhập: IDS/IPS, Snort, FireWall…

- Các ứng dụng chạy trên các máy chủ và máy trạm

Ngày nay, với sự phát triển mạnh mẽ của khoa học công nghệ, mạng máy tính không dừng lại ở những hệ thống mạng kết nối dây cố định nữa mà nó đã và đang phát triển ở những hệ thống mạng không dây nhằm đáp ứng yêu cầu sử dụng mạng của người dùng khi cần di chuyển

Mạng máy tính đã và đang trở thành một nhu cầu tất yếu của chúng ta ngay trong cuộc sống thường ngày như phục vụ vui chơi giải trí, bên cạnh đó nó còn cung cấp nhiều dịch vụ tiện ích trong nhiều lĩnh vực kinh doanh Các doanh nghiệp

đã và đang sử dụng mạng để thực hiện các giao dịch kinh doanh, rút gởi tiền tại các ngân hàng …

1.1.2 Kiến trúc mạng máy tính

Kiến trúc mạng máy tính thể hiện cách nối các máy tính với nhau và tập hợp các quy tắc, quy ước mà tất cả các thực thể tham gia truyền thông trên mạng phải tuân theo để đảm bảo cho mạng hoạt động tốt

Khi nói đến kiến trúc của mạng người ta muốn nói tới hai vấn đề là hình trạng mạng (Network topology) và giao thức mạng (Network protocol)

- Hình trạng mạng: Là cách kết nối các máy tính với nhau về mặt hình học

mà ta hay gọi là tô pô của mạng Chúng ta có các hình trạng mạng cơ bản như mạng hình sao, mạng hình bus, mạng hình vòng

Hình 1.2 Mạng kết nối hình sao

Hình 1.3 Mạng kết nối hình Bus

Hình 1.4 Mạng kết nối hình vòng

Hình 1.5 Mạng kết nối hỗn hợp

- Giao thức mạng: Tập hợp các quy ước truyền thông giữa các thực thể truyền thông mà ta gọi là giao thức của mạng Các giao thức mạng chúng ta thường gặp nhất đó là giao thức TCP/IP, NETBIOS, IPX/SPX,

1.1.3 Phân loại mạng máy tính

Có nhiều cách phân loại mạng khác nhau tuỳ thuộc vào yếu tố chính được chọn dùng để làm chỉ tiêu phân loại, thông thường người ta phân loại mạng theo các tiêu chí sau:

- Khoảng cách địa lý của mạng: Nếu lấy khoảng cách địa lý làm yếu tố phân loại mạng thì chúng ta có các mạng như sau:

+ Mạng cục bộ LAN (Local Area Network): là mạng được cài đặt trong phạm vi tương đối nhỏ hẹp như trong một toà nhà, một xí nghiệp với khoảng cách lớn nhất giữa các máy tính trên mạng trong vòng vài km trở lại

+ Mạng đô thị MAN (Metropolitan Area Network): là mạng được cài đặt trong phạm vi một đô thị, một trung tâm văn hoá xã hội, có bán kính tối đa khoảng

cố định đó

+ Mạng chuyển mạch thông báo (message switched network): Thông báo là một đơn vị dữ liệu của người sử dụng có khuôn dạng được quy định trước Mỗi thông báo có chứa các thông tin điều khiển trong đó chỉ rõ đích cần truyền tới của thông báo Căn cứ vào thông tin điều khiển này mà mỗi nút trung gian có thể chuyển thông báo tới nút kế tiếp trên con đường dẫn tới đích của thông báo Như vậy mỗi nút cần phải lưu giữ tạm thời để đọc thông tin điều khiển trên thông báo, nếu thấy thông báo không gửi cho mình thì tiếp tục chuyển tiếp thông báo đi

+ Mạng chuyển mạch gói (packet switched network): Ở đây mỗi thông báo được chia ra thành nhiều gói nhỏ hơn được gọi là các gói tin (packet) có khuôn dạng quy định trước Mỗi gói tin cũng chứa các thông tin điều khiển, trong đó có địa chỉ nguồn (người gửi) và địa chỉ đích (người nhận) của gói tin

- Hệ điều hành mạng sử dụng: Nếu phân loại theo hệ điều hành mạng người

ta chia ra theo mô hình mạng ngang hàng, mạng khách/chủ hoặc phân loại theo tên

hệ điều hành mà mạng sử dụng: Windows NT, Unix, Novell

- Kiến trúc mạng

1.2 LÝ THUYẾT VỀ QUẢN TRỊ MẠNG

1.2.1 Giới thiệu về quản trị mạng

Mạng máy tính đã và đang trở thành một nhu cầu tất yếu của chúng ta ngay trong cuộc sống thường ngày như phục vụ vui chơi giải trí, bên cạnh đó nó còn cung cấp nhiều dịch vụ tiện ích trong nhiều lĩnh vực kinh doanh Với nhu cầu sử dụng mạng cao như vậy, vấn đề quản trị và giám sát mạng càng được đặt lên hàng đầu

Hiện nay, khái niệm quản trị và giám mạng không còn xa lạ gì trong ngành công nghệ thông tin Nó đã trở thành một trong những lĩnh vực nghiên cứu chính về mạng máy tính và là một công việc quan trọng không thể thiếu trong các hệ thống máy tính của các tổ chức, doanh nghiệp, trường học…

Quản trị mạng có thể xem như quản lý tất cả các tài nguyên trong mạng nhằm duy trì và đảm bảo theo dõi trực quan các hoạt động của toàn bộ hệ thống mạng, cho phép quản trị mạng chủ động phát hiện sớm các sự cố về đường truyền

và dịch vụ mạng

1.2.2 Các chức năng của quản trị mạng

Quản trị mạng đề cập đến nhiều vấn đề khác nhau trong công tác quản trị mạng máy tính Chúng ta có thể khái quát công tác quản trị mạng bao gồm các chức năng sau:

- Quản trị cấu hình, tài nguyên mạng: Bao gồm các công tác quản lý kiểm soát cấu hình, quản lý các tài nguyên cấp phát cho các đối tượng sử dụng khác nhau

- Quản trị người dùng, dịch vụ mạng: Bao gồm các công tác quản lý người

sử dụng trên hệ thống, trên mạng lưới và đảm bảo dịch vụ cung cấp có độ tin cậy cao, chất lượng đảm bảo theo đúng các chỉ tiêu đề ra

- Quản trị hiệu năng mạng : Lĩnh vực này quản lý, đo lường các khía cạnh khác nhau của hiệu năng mạng như: Băng thông mạng, thời gian hồi đáp người dùng, … Mục tiêu của nó là phải duy trì hiệu năng của mạng ở mức có thể truy cập được Quy trình quản lý hiệu năng bao gồm các giai đoạn đó là:

+ Thu thập dữ liệu hiệu năng;

+ Phân tích dữ liệu;

+ Thiết lập các ngưỡng hiệu năng cho giá trị của các thông số quan trọng

- Quản trị an ninh, an toàn mạng: Bao gồm các công tác quản lý, giám sát mạng lưới, các hệ thống để đảm bảo phòng tránh các truy nhập trái phép, có tính phá hoại các hệ thống, dịch vụ hoặc mục tiêu đánh cắp thông tin quan trọng của các

tổ chức, công ty hay thay đổi nội dung cung cấp lên mạng với dụng ý xấu Việc phòng chống, nghăn chặn sự lây lan của các loại virus máy tính làm tê liệt hoạt động của mạng cũng là một phần rất quan trọng trong công tác quản trị, an ninh, an toàn mạng

đó

Do vậy, hệ quản trị mạng NMS có thể giải phóng các kỹ sư mạng ra khỏi những công việc phức tạp đã được định sẵn Bởi vì một hệ quản trị mạng NMS được dự kiến hoàn tất nhiều tác vụ đồng thời cùng một lúc và nó có đầy đủ khả năng tính toán

Một hệ quản trị mạng NMS có thể giúp cho các kỹ sư mạng làm việc trong nhiều môi trường khác nhau Giả sử chúng ta có một kỹ sư mạng làm việc trong phòng thí nghiệm của một trường đại học có 10 máy tính được kết nôi mạng thông qua mạng LAN Đây là một môi trường đủ nhỏ mà ở đó kỹ sư mạng biết được tất cả các khía cạnh của mạng một cách rõ ràng để có thể triển khai, bảo trì và điều khiển

nó Tuy nhiên, khi trên hệ thống này chúng ta sử dụng một hệ quản trị mạng NMS,

nó còn có thể giúp đỡ cho kỹ sư mạng nhiều vấn đề khác nhau như:

- NMS sẽ thực hiện các công việc phân tích phức tạp, xem xét các xu hướng qua các mẫu truyền tin Nó có thể kiểm tra các lỗi do người sử dụng gây mất an

toàn thông tin, nó còn tìm ra các thông tin sai cấu hình trong hệ thống để cô lập khu vực có lỗi, từ đó đưa cách giải quyết cho các vấn đề đó Với một hệ quản trị mạng NMS thực hiện các tác vụ trên, người kỹ sư mạng sẽ có thêm thời gian để hoàn thiện hệ thống hỏi đáp với người sử dụng theo các nhu cầu của họ và giúp họ hoàn thành các dự án

- Bây giờ ta xét đến một hệ thống mạng rộng hơn với các điểm nối ở Bắc

Mỹ, Châu Âu phức tập hơn Hệ thống có thể chạy trên nhiều nghi thức mạng Các Host (một trạm có địa chỉ trên mạng) có thể lên tới nhiều ngàn bao gồm các trạm làm việc, các máy tính mini và các máy cá nhân với một vài thiết bị kết nối khác Thật không thích hợp nếu trông chờ vào một vài kỹ sư mạng, thậm chí một ê kip có khả năng bảo trì toàn bộ Một môi trường như vậy đòi hỏi quản trị đồng thời cả LAN và WAN Sự khác nhau giữa môi truờng lớn như trên với môi trường một LAB của đại học ở chỗ phải quản lý cả các kết nối đường dài ví dụ như các modem tốc độ cao như DSU/CSU hay một ROUTER có thể hiểu được các nghi thức của cả LAN và WAN Với nhiều thiết bị như vậy, kỹ sư hệ thống phải dựa trên các thông tin cung cấp từ hệ quản trị mạng để theo dõi một khối lượng lớn các thông tin sống còn đòi hỏi phải có quyết định cho “sức khoẻ” của mạng

Tóm lại trong cả hai môi trường mạng nêu trên thì các khái niệm, chức năng của NMS là giống nhau, về mặt bản chất một môi trường lớn hơn sẽ luôn luôn đòi hỏi hệ thống phải thực hiện nhiều tác vụ và trợ giúp cho người kỹ sư mạng ở các mức độ phức tạp cao hơn Tuy nhiên, với dữ liệu mạng ở bất kỳ cỡ nào thì NMS cũng có thể cho phép các kỹ sư làm việc trong mạng một cách tối ưu và hiệu quả hơn trong việc phục vụ các nhu cầu của người dùng

1.2.4 Cấu hình một hệ quản trị mạng

Một hệ quản trị mạng có mô hình kiến trúc như sau:

Hình 1.6 Mô hình kiến trúc một hệ quản trị mạng điển hình

- Thực thể quản trị mạng (NME): bao gồm một tập hợp phần mềm dành cho nhiệm vụ quản trị mạng, nó thường được coi như là một "agent quản trị" Mỗi nút mạng đều phải có NME

- Ứng dụng quản trị mạng (NMA): bao gồm một giao diện điều hành, cho phép người dùng có thẩm quyền quản trị mạng NMA được coi như là một

"network manager" Nó đáp ứng các lệnh của người quản trị bằng cách hiển thị thông tin và phát hành các yêu cầu đến các thực thể quản trị mạng NME trên toàn mạng

- Comm: Các phần mềm truyền thông trong mạng

- Appl: Các ứng dụng

- OS: Hệ điều hành

Máy chủ kiểm soát mạng được chỉ định là máy quản trị Nó bao gồm

cả thực thể quản trị mạng NME và ứng dụng quản trị mạng NMA Máy quản trị giao tiếp và kiểm soát các NME ở các hệ thống khác Agent bao gồm các máy dịch

vụ, máy trạm, router, bridge Các agent đều có NME đáp ứng yêu cầu từ hệ manager

1.2.5 Kiến trúc của một hệ quản trị mạng

Hệ điều hành quản trị mạng có thể sử dụng các kiến trúc khác nhau để cung cấp các chức năng quản trị mạng Hiện có 3 phương pháp phổ biến để xây dựng kiến trúc một hệ quản trị mạng:

- Kiến trúc tập trung để điều khiển toàn mạng: Đây là kiến trúc mà hệ điều hành quản trị mạng chỉ đặt trên một hệ thống máy tính, tức là chỉ có duy nhất một manager Trong dự phòng, hệ thống này phải được hỗ trợ bởi một hệ thống khác

- Kiến trúc phân cấp: Đây là một hệ thống có thể phân chia được các chức năng quản trị mạng và đây là kiến trúc sử dụng nhiều hệ thống máy tính, trong đó

có một hệ thống hoạt động như một server trung tâm còn các hệ thống khác hoạt động như các client Server trung tâm sẽ chịu trách nhiệm sao lưu dự phòng

- Kiến trúc phân tán: Đây là hệ thống kết hợp cả hai kiến trúc tập trung và phân cấp Kiến trúc này sử dụng nhiều hệ thống quản trị mạng ngang hàng, có thể phân tán theo chức năng hoặc theo địa lý Mỗi hệ thống có một cơ sở dữ liệu đầy

đủ Mỗi quản trị mạng có thể thực hiện các nhiệm vụ khác nhau và báo cáo lại cho một hệ thống trung tâm

Hình 1.7 Kiến trúc một hệ quản trị mạng phân tán

- Phần mềm hỗ trợ truyền thông và cơ sở dữ liệu

Hình 1.8 Mô hình kiến trúc phần mềm một hệ quản trị mạng

1.3 GIÁM SÁT HỆ THỐNG MẠNG

1.3.1 Giới thiệu về giám sát mạng (Network Security Mornitoring – NSM)

Như chúng ta đã biết, mạng máy tính đã và đang trở thành một nhu cầu tất yếu của chúng ta ngay trong cuộc sống thường ngày như phục vụ vui chơi giải trí, bên cạnh đó nó còn cung cấp nhiều dịch vụ tiện ích trong nhiều lĩnh vực kinh doanh Với nhu cầu sử dụng mạng ngày càng cao như vậy thì sẽ có rất nhiều vấn đề phát sinh làm cho hệ thống mạng hoạt động không như mong đợi Vì thế, để có thể phát hiện ra những vấn đề có thể phát sinh trong quá trình hệ thống mạng hoạt động, chúng ta cần phải thực hiện công việc đó là giám sát hoạt động mạng

Giám sát mạng là việc thu thập các thông tin trên các thành phần của hệ thống, phân tích các thông tin, dấu hiệu nhằm đánh giá và đưa ra các cảnh báo cho người quản trị hệ thống

Đối tượng của giám sát an ninh mạng là tất cả các thành phần, thiết bị trong

* Thu thập dữ liệu (Collection):

Việc thu thập dữ liệu ở đây chính là việc lấy các thông tin liên quan đến tình trạng hoạt động của các thiết bị trong hệ thống mạng Tuy nhiên, trong những hệ thống mạng lớn thì các dịch vụ hay các thiết bị không đặt tại trên máy, một địa điểm

mà nằm trên các máy chủ, các hệ thống con riêng biệt nhau Các thành phần hệ thống cũng hoạt động trên những nền tảng hoàn toàn khác nhau

1.3.3 Các giao thức trong giám sát mạng

1.3.3.1 ICMP (Internet Control Message Protocol)

Giao thức ICMP là một giao thức thông điệp điều khiển của mức TCP/IP Nó cung cấp phương tiện thông tin liên lạc giữa các phần mềm IP trên một máy tính và phần mềm IP trên một máy tính khác

ICMP được dùng để trao đổi các thông tin điều khiển dòng số liệu, thông báo lỗi và các thông tin trạng thái khác của bộ giao thức TCP/IP

ICMP chỉ có thể thông báo lỗi trở về nguồn ban đầu của data gram, không báo lỗi cho các bộ định tuyến trung gian và nó không có khả năng sửa lỗi

Giao thức ICMP có chức năng như sau:

- Điều khiển lưu lượng dữ liệu

- Thông báo lỗi

- Định hướng lại các tuyến đường

- Kiểm tra các trạm ở xa

Thông thường ICMP được gửi khi một gói tin không thể đi tới đích hoặc một Router không còn đủ chỗ nhớ để nhận thêm gói tin hay một Router hướng dẫn máy

tính sử dụng Router khác để truyền thông tin theo một con đường tối ưu hơn

Trong một vài trường hợp, một gateway hoặc một máy đích sẽ cần giao tiếp với máy nguồn để báo cáo lại các lỗi xảy ra trong quá trình xử lý gói tin Trong

trường hợp đó, ICMP sẽ được dùng

Loại thông điệp

Redirect Được dùng bởi một router thông báo cho một host

dùng một địa chỉ router khác tốt hơn cho những lần gửi khác sắp tới

Bảng 1.1 Các loại thông điệp ICMP quan trọng

Mỗi thông điệp ICMP chứa một trường Type và trường Code Trường Type

để chỉ ra loại thông điệp trong bảng trên Trường Code ngầm định một loại kiểu con Ví dụ, nhiều người hay mô tả lệnh ping như là ICMP Echo request và ICMP Echo reply nhưng trong thực tế, hai loại thông điệp trên có cùng kiểu Echo nhưng khác Code (request và reply)

Lệnh ping thường được dùng để kiểm tra kết nối giữa các thiết bị Đây là một giao thức rất phổ biến để kiểm tra sự tồn tại của một máy Ping cũng có thể

được dùng để khắc phục những vấn đề phức tạp hơn trong mạng Phần lớn các hiện thực của lệnh ping cho phép chúng ta thay đổi kích thước của gói tin Bảng dưới đây mô tả một vài thống kê về kích thước gói tin ping trong Cisco IOS và các thiết

Cisco

Bảng 1.2 Mô tả kích thước gói ping trong Cisco IOS và Catalyst

Nguyên tắc hoạt động của lệnh Ping như sau: Lệnh ping dùng để kiểm tra một máy tính có kết nối với mạng không Người sử dụng dùng cặp thông báo Echo Request và Echo Reply Lệnh Ping sẽ gởi các gói tin từ máy tính bạn đang ngồi tới máy đích Thông qua giá trị mà máy đích trả về đối với từng gói tin, bạn có thể xác định được đường truyền Ví dụ như có 4 gói tin gởi đến máy của bạn, nhưng bạn chỉ nhận được 1 gói, điều này chứng tỏ đường truyền rất chậm và xấu Hoặc có thể xác định máy tính có kết nối hay không, nếu máy không kết nối thì kết quả là unkown host

1.3.3.2 SNMP

SNMP là giao thức quản trị mạng đơn giản được sử dụng rộng rãi trong việc kiểm soát các thiết bị truyền thông dùng giao thức TCP/IP trên mạng Các thiết bị này không nhất thiết phải là máy tính mà có thể là switch, router, firewall, adsl gateway và cả một số phần mềm cho phép quản trị bằng SNMP

SNMP được thiết kế để đơn giản hóa quá trình quản lý các thành phần trong mạng Nhờ đó các phần mềm dựa trên SNMP có thể được phát triển nhanh và tốn ít chi phí SNMP được thiết kế để có thể hoạt động độc lập với các kiến trúc và cơ chế

của các thiết bị hỗ trợ SNMP Các thiết bị khác nhau có hoạt động khác nhau nhưng đáp ứng SNMP là giống nhau

Giao thức SNMP có 3 phiên bản: SNMPv1, SNMPv2 và SNMPv3 Các phiên bản này khác nhau một chút ở định dạng bản tin và phương thức hoạt động Hiện tại SNMPv1 là phổ biến nhất do có nhiều thiết bị tương thích nhất và có nhiều phần mềm hỗ trợ nhất Trong khi đó chỉ có một số thiết bị và phần mềm hỗ trợ SNMPv3

- SNMP version 1 chuẩn của giao thức SNMP được định nghĩa trong RFC

1157 và là một chuẩn đầy đủ của IETF Vấn đề bảo mật của SNMPv dựa trên nguyên tắc công khai, không có nhiều password, chuỗi văn bản thuần và cho phép bất kỳ một ứng dụng nào đó dựa trên giao thức SNMP có thể hiểu các chuỗi này để

có thể truy cập vào các thiết bị quản lý Có 3 thao tác chính trong SNMPv1 đó là: Read-Only, Read- Write và Trap

- SNMP version 2: Phiên bản này có cơ chế bảo mật dựa trên các chuỗi

"community" Do đó phiên bản này còn được gọi là SNMPv2c, nó được định nghĩa trong RFC 1905, 1906, 1907 và đây chỉ là bản thử nghiệm của IETF Mặc dù chỉ là thử nghiệm nhưng nhiều nhà sản xuất đã đưa nó vào thực nghiệm

- SNMP version 3: Là phiên bản tiếp theo được IETF đưa ra bản đầy đủ Nó được khuyến nghị làm bản chuẩn và được định nghĩa trong RFC 1905, RFC 1906, RFC 1907, RFC 2571, RFC 2572, RFC 2573, RFC 2574 và RFC 2575 Nó hỗ trợ các loại truyền thông riêng tư và có xác nhận giữa các thực thể

- Quản trị mạng SNMP dựa trên mô hình Manager/Agent như thể hiện trong hình 1.6

Hình 1.10 Mô hình quản trị mạng dựa trên SNMP

- Manager: thường là một máy tính chạy các ứng dụng quản trị SNMP

(SNMP manager), dùng để giám sát và điều khiển tập trung các agent

- Agent: là các thiết bị, máy tính hoặc phần mềm tương thích SNMP, thường

là các thành phần như máy chủ, bộ nối, bộ định tuyến và hub được gắn các SNMP agent để có thể được quản trị bởi manager

- Giao thức SNMP: dùng để liên kết manager và agent SNMP bao gồm ba toán tử SET, GET và TRAP

- SNMP manager: là tiến trình chạy trên manager, nó có nhiệm vụ quản lý, theo dõi và kiểm soát agent

- SNMP agent: là tiến trình chạy trên agent, có nhiệm vụ cung cấp thông tin của agent cho manager, nhờ đó manager có thể quản lý được agent

Trên thực tế thì SNMP manager và SNMP agent mới là 2 tiến trình SNMP trực tiếp liên hệ với nhau

Cảnh báo có thể thông qua thư điện tử email, tin nhắn SMS hoặc thực thi các

mã script nhằm hạn chế hậu quả của sự cố

Khi xảy ra sự cố, hệ thống sẽ tự động gửi email, SMS cho người quản trị và cũng có thể chạy script để thêm một địa chỉ IP có biểu hiện tấn công vào danh sách đen của Firewall, việc này đòi hỏi người lập trình phải có hiểu biết sâu và kinh nghiệm về hệ thống

CHƯƠNG II MỘT SỐ PHƯƠNG PHÁP QUẢN TRỊ VÀ GIÁM SÁT MẠNG 2.1 MỞ ĐẦU

Mạng máy tính đã và đang trở thành một nhu cầu tất yếu của chúng ta ngay trong cuộc sống thường ngày như phục vụ vui chơi giải trí, bên cạnh đó nó còn cung cấp nhiều dịch vụ tiện ích trong nhiều lĩnh vực kinh doanh Các doanh nghiệp

đã và đang sử dụng mạng để thực hiện các giao dịch kinh doanh, rút gởi tiền tại các ngân hàng…

Với nhu cầu sử dụng mạng cao như vậy, vấn đề quản trị và giám sát mạng càng được đặt lên hàng đầu Hiện nay khái niệm quản trị và giám mạng không còn

xa lạ gì trong ngành công nghệ thông tin Nó đã trở thành một trong những lĩnh vực nghiên cứu chính về mạng máy tính và là một công việc quan trọng không thể thiếu trong các hệ thống máy tính của các tổ chức, doanh nghiệp, trường học…

Trong chương I của luận văn đã đi trình bày cơ sở lý thuyết về vấn đề quản trị và giám sát mạng Trong chương II, luận văn sẽ đi sâu tìm hiểu một số phương pháp quản trị và giám sát mạng, cụ thể là 2 phương pháp quản trị mạng dựa trên SNMP và XML

2.2 KIẾN TRÚC CÁC HỆ QUẢN TRỊ MẠNG DỰA TRÊN SNMP

2.2.1 Một số khái niệm cơ bản

2.2.1.1 SNMP

SNMP(Simple Network Management Protocol) là giao thức quản trị mạng đơn giản được sử dụng rộng rãi trong việc kiểm soát các thiết bị truyền thông dùng giao thức TCP/IP trên mạng Các thiết bị này không nhất thiết phải là máy tính mà

có thể là switch, router, firewall, adsl gateway và cả một số phần mềm cho phép quản trị bằng SNMP

Giao thức SNMP được thiết kế để cung cấp một phương thức đơn giản để quản lý tập trung mạng TCP/IP Nếu bạn muốn quản lý các thiết bị từ một vị trí tập trung, giao thức SNMP sẽ vận chuyển dữ liệu từ thiết bị mà bạn đang giám sát đến server nơi mà dữ liệu được lưu trong log file nhằm phân tích dễ dàng hơn SNMP

dùng để quản lý tức là có thể theo dõi, có thể lấy thông tin, có thể được thông báo,

và có thể tác động để hệ thống hoạt động như ý muốn

2.2.1.2 Khái niệm MIB và SMI

* Cơ sở thông tin quản lý MIB:

Cơ sở thông tin quản lý MIB (Management Information Base) là một cấu trúc dữ liệu gồm các đối tượng được quản trị, được dùng cho việc quản lý các thiết

bị chạy trên nền TCP/IP

MIB được thể hiện thành một tệp tin MIB (MIB file) và có cấu trúc dạng cây bao gồm các biến cụ thể Đối tượng trong cơ sở thông tin quản lý MIB được nhận diên thông qua định danh đối tượng OID (Object Identifier)

Hình 2.1 dưới đây sẽ minh họa một cây MIB Trong cây này, chúng ta thấy rằng mỗi nút trong cây là một đối tượng, chúng ta có thể gọi bằng tên hoặc ID Ví

Có 2 loại MIB:

- MIB chuẩn: Dùng để định nghĩa các đối tượng quản trị dùng chung cho hầu hết các hệ thống được định nghĩa bởi IETF MIB chuẩn của SNMPv1 là MIB-II và MIB chuẩn của SNMPv2 là SNMPv2-MIB

- MIB riêng: Dùng để định nghĩa thông tin quản trị riêng cho từng công ty

* Cấu trúc thông tin quản lý SMI:

SMI (Structure Management Information) mô tả cấu trúc thông tin quản trị của tệp tin MIB SMI có 2 phiên bản đó là:

- SMIv1: mô tả cách trình bày một tệp tin MIB

- SMIv2: Phiên bản này là mở rộng của phiên bản SMIv1

Để cung cấp phương thức tiêu chuẩn biểu diễn thông tin quản lý, SMI thực hiện những công việc sau:

- Cung cấp kỹ thuật tiêu chuẩn để dịnh nghĩa cấu trúc MIB đặc biệt

- Cung cấp kỹ thuật tiêu chuẩn để định nghĩa các đối tượng đơn lẻ bao gồm

cú pháp và giá trị mỗi đối tượng

- Cung cấp kỹ thuật tiêu chuẩn để mã hóa các giá trị đối tượng

Theo phiên bản SMIv1, mỗi đối tượng bao gồm 3 thuộc tính cơ bản:

- Tên hay định danh đối tượng (Name/OID), có kiểu là OBJECT IDENTIFIER (OID)

- Cú pháp (Syntax): mô tả kiểu của đối tượng thông qua ASN.1

- Mã hóa (Encoding): Một trong 3 hệ thống luật mã hóa trong ASN.1 là BER BER định nghĩa các các đối tượng được mã hóa và giải mã để chúng có thể truyền đi thông qua môi trường Ethernet BER được SNMP dùng làm phương pháp

- Định nghĩa cấu trúc của ứng dụng và đƣa ra các đơn vị dữ liệu giao thức (PDU)

- Định nghĩa cơ sở thông tin quản trị cho cả hệ quản trị mạng SNMP lẫn OSI

- Để agent hiểu đƣợc manager cần tìm thông tin gì, nó dựa vào một mục là variable binding hay varbind Varbind là một danh sách các đối tƣợng của cơ sở thông tin quản lý MIB mà manager muốn lấy từ agent

- Agent hiểu câu hỏi theo dạng: OID=value để tìm thông tin trả lời

* GetNextRequest:

- Bản tin GetNextRequest cũng đƣợc dùng để lấy thông tin và cũng có chứa định danh đối tƣợng OID, tuy nhiên nó dùng để lấy thông tin của đối tƣợng nằm kế tiếp đối tƣợng đƣợc chỉ ra trong bản tin

Bản tin Trap được SNMP agent tự động gửi cho manager mỗi khi có sự kiện xảy ra bên trong agent, các sự kiện này không phải là các hoạt động thường xuyên của agent mà là các sự kiện mang tính biến cố

- Trap là bản tin sử dụng cho các đơn vị từ xa RTU (Remote Telemetry Unit) khi có các cảnh báo và sẽ thông báo đến SNMP manager ngay sau khi có sự cố xảy

ra thay vì phải chờ manager yêu cầu Tuy nhiên không phải mọi biến cố đều được agent gởi Trap, cũng không phải mọi agent đều gởi trap khi xảy ra cùng một biến

- Nguồn gởi Trap gọi là Trap Sender và nơi nhận trap gọi là Trap Receiver

- Có 2 loại Trap cơ bản đó là: Trap phổ biến (generic trap) và Trap đặc thù (specific trap)

+ Trap phổ biến được quy định trong các chuẩn SNMP

+ Trap đặc thù do hãng sản xuất SNMP device định nghĩa

- Số và tên kiểu Trap định nghĩa:

+ coldStart (0): Thông báo Agent vừa khởi động lại Tất cả các biến quản lý

sẽ được khởi động lại, các biến kiểu "Counters" và "Gauges" sẽ được đặt về 0

"coldStart" còn dùng để xác định một thiết bị mới gia nhập vào mạng Khi một thiết

bị khởi động xong, nó gửi một Trap tới manager nếu địa chỉ manager là đúng, manager có thể nhận và xác định xem có quản lý thiết bị đó hay không

+ warmStart (1): Thông báo Agent vừa khởi tạo lại, không có biến nào bị reset

+ linkDown(2): Thông báo này được gửi đi khi một giao diện trên thiết bị chuyển sang trạng thái "down"

+ linkUp (3): Thông báo này được gửi đi khi một giao diện trở lại trạng thái

"up"

+ authenticationFailure(4): Cảnh báo khi một người nào đó cố truy cập vào Agent đó mà không được xác thực

+ egpNeighborLoss(5): Cảnh báo một EGP lân cận bị "down"

+ enterpriseSpecific (6): Đây là một Trap riêng, chỉ được biết bởi agent và manager bởi vì agent và manager tự định nghĩa riêng chúng; manager sử dụng phương pháp giải mã đặc biệt để hiểu được thông điệp này

Đối với các phương thức Get/Set/Response thì SNMP agent sẽ nghe ở cổng UDP 161, còn phương thức Trap thì SNMP Trap Receiver sẽ nghe ở cổng UDP

162

Bản tin GetRequest và GetNextRequest cho phép manager yêu cầu thông tin của một biến cụ thể Bản tin Trap cho phép agent tự phát thông tin cho manager trong hoàn cảnh “đặc biệt” Các bản tin GetRequest, GetNextRequest và SetRequest thường chỉ được phát ra bởi SNMP manager vì bản tin Trap chỉ được khởi tạo bởi agent

Hình 2.3 Các gói tin của SNMP