BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT HƯNG YÊN GIÁO TRÌNH QUẢN TRỊ MẠNG NÂNG CAO TRÌNH ĐỘ ĐÀO TẠO: ĐẠI HỌC NGÀNH ĐÀO TẠO: CÔNG NGHỆ THÔNG TIN (INFORMATION TECHNOLOGY) JULY 6, 2016 FIT-UTEHY (LƯU HÀNH NỘI BỘ) MỤC LỤC CHƯƠNG I: TỔNG QUAN VỀ BẢO MẬT MẠNG VÀ CÁC THIẾT BỊ HẠ TẦNG MẠNG 1.1 Tổng quan bảo mật mạng 1.1.1 Nguy bảo mật mạng thông tin 1.1.2 Mục tiêu bảo mật 1.2 Tổng quan AAA 1.2.1 Điều khiển truy nhập – Access Control 1.2.2 Xác thực 1.2.3 Kiểm tra quản lý – Auditing 17 1.3 Các thiết bị hạ tầng mạng 18 1.3.1 Tường lửa - Firewall 18 1.2.2 Bộ định tuyến – Router 19 1.2.3 Bộ chuyển mạch – Switch 19 1.2.4 Bộ cân tải 19 1.2.5 Proxies 19 1.2.6 Cổng bảo vệ Web (Web Security Gateway) 20 1.2.7 Hệ thống phát xâm nhập 20 CHƯƠNG 2: TƯỜNG LỬA - FIREWALL 21 2.1 Tổng quan Firewall 21 2.1.1 Khái niệm Firewall 21 2.1.2 Mục đích Firewall 21 2.1.3 Phân loại FIREWALL 23 2.1.4 Mô hình kiến trúc FIREWALL 27 2.2 Tường lửa mềm ISA2006, TMG 2010 & IPtables 33 2.2.1 ISA 2006 33 2.2.2 TMG 2010 39 2.2.3 Iptables 42 2.3 Tường lửa cứng ASA 45 2.3.1 Giới thiệu ASA 45 2.3.2 Triển khai số tính ASA hệ thống mạng 46 CHƯƠNG 3: CÔNG NGHỆ VPN 55 3.1 Tổng quan VPN 55 3.1.1 Khái niệm 55 3.1.2 Lợi ích VPN 56 3.1.3 Chức VPN 56 3.1.4 Các thành phần cần thiết tạo nên kết nối VPN 57 3.1.5 Phân loại VPN 57 3.2 Một số giao thức mã hóa VPN 59 3.2.1 Giao thức định hướng lớp : L2F ( Layer Forwarding) 60 3.2.2 Giao thức đường hầm điểm điểm - PPTP 62 3.2.2.1 PPP PPTP 63 3.2.2.2 Cấu trúc gói PPTP 64 3.2.2.3 Đường hầm 67 Giao thức đường hầm lớp – L2TP 68 3.2.3 3.2.4 Giao thức IP Sec 73 CHƯƠNG 4: HỆ THỐNG MAIL SERVER 84 4.1 Tổng quan hệ thống Email 84 4.1.1 Khái niệm thành phần Email 84 4.1.2 Một số giao thức Email 88 4.2 MS.Exchange Server 2010 92 4.2.1 Giới thiệu MS.Exchange Server 2010 92 4.2.2 Một số đặc điểm MS.Exchange 2010 92 4.3 MailServer Mdaemon 96 CHƯƠNG 5: GIÁM SÁT HỆ THỐNG MẠNG 98 5.1 Tổng quan giám sát mạng 98 5.1.1 Khái niệm 98 5.1.2 Các lĩnh vực cần phải giám sát hệ thống mạng 99 5.2 Giao thức quản lý mạng đơn giản – SNMP số phần mềm giám sát mạng 101 5.2.1 Giao thức quản lý mạng đơn giản – SNMP 101 5.2.2 Một số phần mềm giám sát mạng thường gặp 106 CHƯƠNG I: TỔ NG QUAN VỀ BẢO MẬT MẠNG VÀ CÁC THIẾT BỊ HẠ TẦNG MẠNG MỤC TIÊU Học xong chương sinh viên có thể: o Trình bày số nguy mục tiêu bảo mật hệ thống công nghệ thông tin o Hiểu giải thích số phương thức chứng thực o Trình bày phân tích ba yếu tố AAA bảo mật hệ thống o Phân biệt thiết bị hạ tầng mạng thường gặp hệ thống mạng o Rèn luyện tính tư logic 1.1 Tổng quan bảo mật mạng 1.1.1 Nguy bảo mật mạng thông tin Nguy bảo mật (Threat) - một chuỗi kiện hành động gây hại ảnh hưởng không tốt cho mục tiêu bảo mật Thể thực tế nguy bảo mật công vào mạng Lỗ hổng bảo mật (Vulnerability Security) – Là “lỗi” phần mềm hệ thống mà bị kẻ công lợi dụng, khai thác ảnh hưởng tới an toàn thông tin hệ thống 1.1.2 Mục tiêu bảo mật Mục tiêu bảo mật hay gọi đối tượng bảo mật Được định nghĩa tuỳ theo môi trường ứng dụng kỹ thuật thực 1.1.2.1 Theo môi trường ứng dụng • Các tổ chức tài Chống nguy làm sai lệch thay đổi tình cờ giao dịch tài Xác nhận tính hợp pháp giao dịch khách hàng Bảo mật cho số nhận dạng cá nhân (PIN) Đảm bảo tính riêng tư cho khách hàng giao dịch • Thương mại điện tử Đảm bảo tính toàn vẹn giao dịch Đảm bảo tính riêng tư cho doanh nghiệp Cung cấp chữ ký điện tử (electronic signature) cho giao dịch điện tử Đảm bảo tính riêng tư, bí mật thông tin khách hàng • Chính phủ Chống nguy rò rỉ thông tin nhạy cảm Cung cấp chữ ký điện tử cho tài liệu phủ • Các nhà cung cấp dịch vụ viễn thông công cộng Giới hạn quyền truy cập vào chức quản trị dành cho người có đủ thẩm quyền Đảm bảo dịch vụ sẵn sàng Bảo vệ tính riêng tư cho thuê bao • Các mạng riêng mạng doanh nghiệp Bảo vệ tính riêng tư cho doanh nghiệp cá nhân Đảm bảo khả xác nhận tin • Tất mạng Bảo vệ liệu chống lại xâm nhập bất hợp pháp 1.1.2.2 Theo kỹ thuật thực • Tính bí mật (confidentiality) Đảm bảo người có thẩm quyền xem liệu truyền lưu giữ • Tính toàn vẹn liệu (data integrity) Phát thay đổi liệu truyền lưu giữ Xác nhận người tạo thay đổi liệu • Tính kế toán (accountability) Xác định trách nhiệm với kiện thông tin • Tính sẵn sàng (availability) Các dịch vụ phải sẵn sàng đáp ứng nhu cầu sử dụng người dùng • Truy cập có điều khiển (controlled access) Chỉ thực thể có đủ thẩm quyền truy cập dịch vụ thông tin 1.2 Tổng quan AAA AAA(Điều khiển truy nhập – Access Control, Xác thực – Authentication, Kiểm tra quản lý– Auditing ) nhóm trình sử dụng để bảo vệ liệu, thiết bị, tính bí mật thuộc tính thông tin AAA cung cấp: - Tính bí mật (Confidentiality): Một mục tiêu quan trọng bảo mật thông tin bảo đảm riêng tư liệu Điều có nghĩa liệu hay thông tin người người biết người khác không quyền can thiệp vào Trong thực tế, khu vực riêng quan hay tổ chức nhằm ngăn chặn người lạ xâm nhập với bảng cấm “không phận miễn vào” hình thức bảo vệ tính riêng tư Đối với liệu truyền để bảo vệ tính riêng tư (Confidentiality) liệu thường mã hóa hay sử dụng giao thức truyền thông an tòan SSH, SSL… Hình 1.1: Mục tiêu bảo mật hệ thống - Tính toàn vẹn (Integrity): Mục tiêu thứ hai bảo mật thông tin bảo vệ tính toàn vẹn cho liệu Nhằm bảo đảm liệu truyền không bị thay đổi tác nhân khác, ví dụ: email quan trọng gởi thường áp dụng thuật toán bảo vệ tính tòan vẹn chữ ký số nhằm ngăn ngừa bị tác nhân thứ thay đổi cách chặn bắt thông điệp - Tính sẵn dùng (Availability) : Các nội dung hay liệu phải sẵn sàng để người dùng truy cập sử dụng phép Ví dụ trang Web phải đảm bảo hoạt đông 24h/1ngày 7ngày /1tuần người dùng truy cập lúc Để đạt mục tiêu bảo mật AAA liệu tài nguyên cần phải thực ba công việc sau đây: 1.2.1 Điều khiển truy nhập – Access Control Quá trình điều khiển truy cập quan trọng Điều khiển truy cập định nghĩa cách thức người dùng hệ thống liên lạc theo cách Hay nói cách khác, điều khiển truy cập giới hạn hay kiểm soát truy cập đến tài nguyên hệ thống, bao gồm liệu, bảo vệ thông tin khỏi truy cập trái phép Điều khiển truy cập bao gồm loại sau:  Điều khiển truy cập bắt buộc: Mandatory Access Control (MAC) mô hình tĩnh sử dụng để thiết lập, xác định trước quyền truy cập cho tệp hệ thống Người quản trị hệ thống thiết lập quyền truy cập với tham số kết hợp chúng với tài khoản, tệp hay tài nguyên hệ thống MAC sử dụng nhãn để xác định mức độ quan trọng áp dụng cho đối tượng Khi người dùng cố gắng truy cập vào đối tượng, nhãn kiểm tra để xác định truy cập phép xảy hay bị từ chối Khi sử dụng phương thức điều khiển truy cập này, tất đối tượng phải có nhãn để xác định quyền truy cập  Điều khiển truy cập tùy quyền: Discretionary Access Control (DAC) họat động dựa định danh người dùng, mô hình người dùng gán quyền truy cập với đối tượng file, folder thông qua danh sách truy cập (ACL), dựa phân quyền chủ thể (owner) hay người tạo đối tượng (creator)  Điều khiển truy cập dựa vai trò: Role – Based Access Control (RBAC) : RBAC họat động dựa công việc người dùng Người dùng cấp quyền tùy theo vai trò công việc mô hình thích hợp cho môi trường làm việc mà nhân có nhiều thay đổi 1.2.2 Xác thực Xác thực ngưỡng cửa hệ thống bảo mật, có nhiệm vụ xác định truy cập vào hệ thống, có người sử dụng hợp lệ hay không Yếu tố xác thực phần thông tin dùng để xác thực xác minh nhân dạng (identity) người Hệ thống xác thực hay phương thức xác thực dựa năm yếu tố sau:  Những bạn biết Ví dụ mật khẩu, mã PIN (Personal Identification Number)  Những bạn có Ví dụ thẻ chứng minh nhân dân (CMND), hộ chiếu, thẻ thông minh, hay thiết bị dùng để định danh  Những bạn Ví dụ: dấu vân tay, giọng nói, hay chuỗi DNA  Những bạn làm Ví dụ: hành động hay chuỗi hành động cần phải thực để hoàn thành xác thực  Một nơi bạn Ví dụ dựa vào vị trí bạn (hiện nhiều hệ thống sử dụng tính toán di động, nên yếu tố xác thực sử dụng) Trên thực tế, dùng yếu tố để xác thực, độ an toàn không cao kết hợp nhiều yếu tố với Cũng giống nhà, cửa nên khóa nhiều ổ khóa Nếu lỡ may đánh rơi chìa khóa, hay kẻ trộm bẻ gãy ổ khóa, ổ khóa khác, đủ làm nản lòng chí làm thời gian kẻ trộm phá cửa 1.2.2.1 Giao thức xác thực mật khẩu( PAP – Password Authentication Protocol) Phương pháp xác thực PAP dựa hai yếu tố chính: tên đăng nhập/mật khẩu(username/password) cách thông dụng để kiểm tra người dùng có quyền đăng nhập có quyền sử dụng tài nguyên hệ thống hay không Các ứng dụng thực tế chế có nhiều việc đăng nhập máy tính hình logon, đăng nhập hộp thư điện tử… Hình 1.2: Xác thực sử dụng PAP Theo chế người dùng cung cấp định danh, thông tin tài khỏan họ chuyển đến sở liệu để tìm so sánh vơi ghi (record) hệ thống, có trùng lặp xảy người dùng hợp lệ đăng nhập hệ thống Trong trường hợp ngược lạ bị hệ thống từ chối cho phép truy cập Những thuận lợi phương pháp chế họat động đơn giản, dễ ứng dụng Nhưng an toàn thông tin Username & Password gởi dạng văn thông thường (clear text) theo giao thức không mã hóa Telnet, FTP, HTTP, POP dễ dàng bị bắt lấy (bằng việc sử dụng phần mềm sniffer Cain, Ethercap, IMSniff, Password ACE Sniff ) bị xem trộm 1.2.2.2 Kerberos Một điểm yếu việc xác thực thông tin đăng nhập không mã hóa (Cleartext) thông tin nhạy cảm (username/password) dễ dàng bị đánh cắp phương pháp nghe (Sniffer), công phát lại (Replay attack) hay người đàn ông (Man in the middle), hệ thống xác thực mạnh mẽ an toàn nghiên cứu học viện MIT(Massachusetts Institute of Technology) dự án Athena ứng dụng thành công Kerberos hệ thống Windows 2000/2003/2008/2012, Linux, Unix Mặc dù hệ thống họat động độc lập không phụ thuộc vào hệ thống cần có tinh chỉnh riêng để tương thích hệ thống ví dụ muốn áp dụng Kerberos để chứng thực cho hệ thống bao gồm Windows Linux cần có dịch vụ hổ trợ chẳng hạn SAMBA Với đặc tính này, người dùng cần chứng thực lần với Trung tâm phân phối khóa (KDC – Key Distribution Center ) sau sử dụng tất dịch vụ khác tin cậy (trust) theo quyền hạn thích hợp mà không cần phải tiến hành chứng thực lại với máy chủ hay dịch vụ mà sử dụng Ví dụ mô hình Windows Server 2008 Active Directory, sau tham gia đăng nhập domain domain user sử dụng dịch vụ chia sẻ mạng File hay Print Server mà không cần phải cung cấp tên đăng nhập mật (username password) kết nối đến máy chủ họat động môi trường WorkGroup Đây ưu điểm lớn việc ứng dụng Kerberos nói chúng hay mô hình mạng sử dụng Active Directory nói riêng Các thành phần hệ thống kerberos: Client: Người dùng (user), dịch vụ (service), máy (machine) KDC : Trung tâm phân phối khóa (Key Distribution Center) Máy chủ tài nguyên máy chủ lưu trữ Hình 1.3: Các thành phần hệ thống chứng thực Kerberos Để hiểu rõ chế làm việc kerberos, xét phiên chứng thực người dùng đăng nhập vào hệ thống để sử dụng dịch vụ hệ thống Bao gồm bước sau đây: Subject (client –máy khách hay gọi người dùng) cung cấp thông tin đăng nhập Ví dụ: username password Hệ thống Kerberos client tiến hành mã hóa password với thuật tóan Data Encryption Standard (DES) sau truyền thông tin mã hóa đến KDC KDC xác nhận thông tin đăng nhập tạo Ticket Granting Ticket (TGT— giá trị hash password người dùng (subject) cung cấp với giá trị timestamp định thời gian sống (lifetime) phiên truy cập Giá trị TGT mã hóa gửi cho client) Hình 4.4 Giao diện điều khiển Exchange 2010 4.3 MailServer Mdaemon Hiện thị trường có nhiều phần mềm cho phép cài đặt quản trị hệ thông thư điện tử nói chung chúng có tính tương tự Mdaemon phần mềm Mailserver nghiên cứu phát triển công ty Altn (http://www.altn.com/) Mdaemon phần mền quản lý thư điện tử chạy Windows thiết kế sử dụng từ sáu account đến hàng nghìn account MDaemon đơn giản dễ cấu hình, đồng thời phần mền có giá thành hợp lý lại có nhiều đặc tính cho phép dễ quản lý hệ thống thư điện tử khác thị trường Mdaemon phần mềm Mailserver dễ triển khai với sở hạ tầng mạng không yêu cầu cao Mdaemon có số đặc điểm sau: - MDaemon phần mềm có giao diện thân thiện với người dùng - Chạy hệ điều hành thông dụng Microsoft - Có khả quản lý hàng trăm tên miền hàng nghìn người dùng (phụ thuộc nhiều yếu tố dung lượng đường truyền, phần cứng server) Có cung cấp nhiều công cụ hữu ích cho việc quản trị hệ thống đảm bảo an toàn cho hệ thống thư điện tử : •Contant filter : Cho phép chống Spam không cho phép gửi nhận thư đến từ địa xác định •MDaemon Virus Scan : Quét thư qua để tìm diệt virus email •Ldap : MDaemon có hỗ trợ sử dụng thủ tục Ldap cho phép máy chủ sử dụng chung sở liệu account •Domain Gateway: Hỗ trợ cho phép quản lý thư gateway sau chuyển cho tên miền tương ứng •Mailing list: Tạo nhóm người dùng • Public/Shared folder: Tạo thư mục cho phép người quyền sử dụng chung liệu thư mục •DomainPOP: Sử dụng POP để lấy thư •WorldClient: Cho phép người dùng quản lý hộp thư sử dụng web brower •Dconf WebAdmin : Cho phép quản trị hệ thống thư điện tử từ xa webadmin 96 cho phép quản trị web brower 97 CHƯƠNG 5: GIÁM SÁT HỆ THỐNG MẠNG 5.1 Tổng quan giám sát mạng 5.1.1 Khái niệm Tất tổ chức, doanh nghiệp khác nhau, ảnh hưởng hệ thống mạng hoạt động doanh nghiệp không thay đổi Thực tế, doanh nghiệp phát triển, mạng lưới phát triển không quy mô tính phức tạp, mà ý nghĩa giá trị Rất nhanh chóng, hệ thống mạng không hỗ trợ công ty, mà đại diện cho công ty Điều hiển nhiên tổ chức mà hoạt động họ phụ thuộc vào mạng Tuy nhiên, cấp độ nhất, mạng xem hợp tác, giao tiếp, thương mại - tất thứ mà giữ cho doanh nghiệp hoạt động phát triển Đó nơi ứng dụng kinh doanh tổ chức, nơi mà thông tin quan trọng khách hàng, sản phẩm, thông tin kinh doanh lưu trữ Với nguồn tài nguyên quan trọng việc đảm bảo cho nguồn tài nguyên hoạt động liên tục vấn đề thiết yếu Và thách thức có nhiều mối nguy tiềm tàng hackers, công từ chối dịch vụ, virus, cắp thông tin đe dọa đến hệ thống tổ chức hay doanh nghiệp dẫn tới việc hệ thống ngưng hoạt động, liệu làm giảm độ tin cậy lợi ích thu từ hệ thống Ngoài ra, hệ thống mạng ngày phát triển mạnh, với công nghệ mới, thiết bị mới, cấu trúc mới, chẳng hạn ảo hóa hay kiến trúc hướng dịch vụ Quản lý mạng lĩnh vực rộng tích hợp chức giám sát thiết bị, quản lý ứng dụng, an ninh, bảo trì, dịch vụ, xử lý cố, nhiệm vụ khác – lý tưởng tất công việc điều phối giám sát quản trị viên mạng đáng tin cậy có kinh nghiệm Tuy nhiên, quản trị mạng có khả hiểu biết có thông tin hệ thống mà nhìn thấy Quản trị viên cần phải biết xảy mạng họ vào lúc, bao gồm thời gian thực thông tin lịch sử sử dụng, hiệu suất, tình trạng tất ứng dụng, thiết bị, tất liệu mạng 98 Đây lĩnh vực giám sát mạng, chức quan trọng quản lý mạng Cách để biết tất thứ mạng hoạt động phải giám sát thành phần hệ thống mạng cách liên tục 5.1.2 Các lĩnh vực cần phải giám sát hệ thống mạng Đối với hệ thống mạng, điều quan trọng có thông tin xác vào thời điểm Tầm quan trọng nắm bắt thông tin trạng thái thiết bị vào thời điểm tại, biết thông tin dịch vụ, ứng dụng hệ thống Bảng sau chứa đại diện vài thông tin trạng thái hệ thống mà ta phải biết lý Bảng 5.1: Thông tin trạng thái hệ thống Các lĩnh vực cần giám sát hệ thống mạng Lý cần phải giám sát Tính sẵn sàng thiết bị (router, Đây thành phần chủ chốt giữ cho switch, server,…) mạng hoạt động Tính sẵn sàng dịch vụ quan trọng hệ thống Toàn hệ thống không phép ngưng hoạt động dẫn tới việc mát liệu hay email, hay dịch vụ HTTP, FTP dù ảnh hưởng nghiêm trọng tới tổ chức Dung lượng đĩa trống máy chủ Các ứng dụng đòi hỏi dung lượng đĩa Chính cần giám sát thông tin để xử lý kịp thời không ảnh hưởng tới ứng dụng quan trọng Phần trăm trung bình mức tải router Cần nâng cấp hệ thống trước xảy tải dẫn tới ảnh hưởng hệ thống Mức trung bình tải nhớ xử lý máy chủ quan trọng Nếu nhớ hay xử lý bị sử dụng hết làm ngưng trệ hệ thống Chức firewall, chống virus, cập nhật server, chống spyware, malware Cần phải đảm bảo an ninh cho hệ thống Lượng liệu vào router Cần xác định xác thông tin lượng liệu để tránh tải hệ thống 99 Các kiện viết log WinEvent or Syslog Có thể thu thông tin xác tượng xảy hệ thống SNMP traps nhiệt độ phòng máy chủ hay thông tin máy in Ta biết thông tin máy in bị hư hỏng hay cần thay mực trước người dùng báo đảm bảo máy chủ không bị nóng Khi có cố xảy ra, ta cần phải cảnh báo lập tức, thông qua cảnh báo âm thanh, qua hình hiển thị, qua email tự động tạo chương trình giám sát Ta biết sớm diễn có nhiều thông tin đầy đủ cảnh báo sớm khắc phục cố Những lý hàng đầu cho việc cần thiết phải sử dụng hệ thống giám sát mạng:  Biết xảy hệ thống: giải pháp giám sát hệ thống cho phép thông báo tình trạng hoạt động tài nguyên hệ thống Nếu chức ta phải đợi đến người dùng thông báo  Lên kế hoạch cho việc nâng cấp, sửa chữa: thiết bị ngưng hoạt động cách thường xuyên hay băng thông mạng gần chạm tới ngưỡng lúc cần phải có thay đổi hệ thống Hệ thống giám sát mạng cho phép ta biết thông tin để có thay đổi cần thiết  Chẩn đoán vấn đề cách nhanh chóng: giả sử máy chủ ta kết nối tới Nếu hệ thống giám sát ta biết nguyên nhân từ đâu, máy chủ hay router switch Nếu biết xác vấn đề ta giải cách nhanh chóng  Xem xét hoạt động: báo cáo đồ họa giải thích tình trạng hoạt động hệ thống Đó công cụ tiện lợi phục vụ cho trình giám sát  Biết cần áp dụng giải pháp lưu phục hồi: với đủ cảnh báo cần thiết ta nên lưu liệu hệ thống phòng trường hợp hệ thống bị hư hại lúc Nếu hệ thống giám sát ta biết có vấn đề xảy trễ 100  Đảm bảo hệ thống bảo mật hoạt động tốt: tổ chức tốn nhiều tiền cho hệ thống bảo mật Nếu hệ thống giám sát ta biết hệ thống bảo mật ta có hoạt động mong đợi hay không  Theo dõi hoạt động tài nguyên dịch vụ hệ thống: hệ thống giám sát cung cấp thông tin tình trạng dịch vụ trện hệ thống, đảm bảo người dùng kết nối đến nguồn liệu  Được thông báo tình trạng hệ thống khắp nơi: nhiều úng dụng giám sát cung cấp khả giám sát thông báo từ xa cần có kết nối Internet  Đảm bảo hệ thống hoạt động liên tục: tổ chức ta phụ thuộc nhiều vào hệ thống mạng, tốt người quản trị cần phải biết xử lý vấn đề trước cố nghiêm trọng xảy  Tiết kiệm tiền: với tất lý trên, ta giảm thiểu tối đa thời gian hệ thống ngưng hoạt động, làm ảnh hưởng tới lợi nhuận tổ chức tiết kiệm tiền cho việc điều tra có cố xảy 5.2 Giao thức quản lý mạng đơn giản – SNMP số phần mềm giám sát mạng 5.2.1 Giao thức quản lý mạng đơn giản – SNMP 5.2.1.1 Khái niệm SNMP bao gồm tập lệnh đơn giản cho phép người quản trị có khả biết thay đổi trạng thái thiết bị quản lý Ví dụ sử dụng SNMP để tắt cổng router hay kiểm tra tốc độ cổng SNMP giám sát nhiệt độ thiết bị cảnh báo nhiệt độ cao… SNMP gồm có phiên là:  SNMP Version (SNMPv1) định nghĩa RFC 1157 Khả bảo mật SNMPv1 dựa nguyên tắc cộng đồng, cho phép ứng dụng chạy SNMP truy xuất thông tin thiết bị chạy SNMP khác Có tiêu chuẩn là: read-only, read-write, trap  SNMP Version (SNMPv2): tính bảo mật phiên dưa chuỗi “community” Do phiên gọi SNMPv2c định nghĩa RFC 1905, 1906, 1907 101  SNMP Version (SNMPv3): định nghĩa RFC 1905, 1906, 1907, 2571, 2572, 2573, 2574, 2575 Phiên hỗ trợ chức thực mạnh, cho phép truyền thông riêng tư có xác nhận thực thể 5.2.1.2 Các thành phần SNMP Trong môi trường SNMP có loại thực thể là: managers agents Manager máy chủ chạy phẩn mềm quản lý Managers thông thường xem Network Management Stations (NMSs) Một NMS chịu trách nhiệm cho việc Poll nhận Traps từ agent mạng Poll hành động truy vấn agent (router, switch, Unix server,…) để lấy thông tin cần thiết Trap cách để agent thông báo cho NMS biết chuyện xảy Trap không gửi cách đồng nghĩa không chịu trách nhiệm hồi báo truy vấn NMS mà thông báo có vấn đề xảy Ví dụ, liên kết T1 router bị kết nối, router gửi Trap đến NMS Thực thể thứ hai Agent: phần mềm chạy thiết bị mạng cần quản lý Nó chương trình riêng biệt tích hợp vào hệ điều hành (ví dụ Cisco IOS router hay hệ điều hành cấp thấp quản lý UPS-bộ tích điện) Ngày nay, hầu hết thiết bị hoạt động dựa tảng IP kèm với phần mềm SMNP agent giúp người quản trị quản lý thiết bị cách dễ dàng Agent cung cấp thông tin cho NMS cách theo dõi hoạt động thiết bị Ví dụ, agent router theo dõi trạng thái cổng router NMS truy vấn trạng thái cổng có hành động thích hợp cổng xảy vấn đề Khi agent phát có vấn đề xảy thiết bị gửi trap đến NMS Một vài thiết bị gửi hồi báo “all clear” trap có chuyển đổi từ trạng thái xấu sang tốt Điều có ích việc xác định vần để giải Hình bên mô tả mối quan hệ NMS Agent 102 Hình 5.1: Mô hình hoạt động NMS Agent Điều quan trọng cần phải xác định rõ Poll Trap xảy lúc Không có hạn chế NMS truy vấn Agent Agent gửi trap đến NMS Management Information Base (MIB) xem giống sở liệu đối tượng quản lý mà agent theo dõi Bất trạng hay thông tin thống kê truy cấp NMS định nghĩa MIB SMI cung cấp cách thức để định nghĩa đối tượng quản lý, MIB định nghĩa xác đối tượng 5.2.1.3 Hoạt động giao thức SNMP Quá trình hoạt động SNMP mô tả theo sơ đồ SNMP sử dụng Protocol Data Unit (PDU) định dạng thông điệp mà manager agent sử dụng để gửi, nhận thông tin Có định dạng chuẩn PDU cho hoạt động SNMP sau: 103 Hình 5.2: Mô hình hoạt động SNMP  Get: Được gửi từ NMS yêu cầu tới agent Agent nhận yêu cầu xử lý với khả tốt Nếu thiết bị bận tải nặng, router, khả trả lời yêu cầu nên hủy lời yêu cầu Nếu agent tập hợp đủ thông tin cần thiết cho lời yêu cầu, gửi lại cho NMS ”get-response”:  Get-next: Đưa dãy lệnh để lấy thông tin từ nhóm MIB Agent trả lời tất đối tượng có câu truy vấn ”getnext” tương tự ”get”, hết đối tượng dãy  Get-bulk (SNMPv2 SNMPv3): Được định nghĩa SNMPv2 Nó cho phép lấy thông tin quản lý từ nhiều phần bảng Dùng ”get” làm điều Tuy nhiên, kích thước câu hỏi bị giới hạn agent Khi trả lời toàn yêu cầu, gửi trả thông điệp lỗi mà liệu Với trường hợp dùng câu lệnh ”get-bulk”, agent gửi nhiều trả lời Do đó, việc trả lời phần yêu cầu xảy Hai trường cần khai báo ”get-bulk” là: 104 ”nonrepeaters” ”max-repetitions” ”nonrepeaters” báo cho agent biết N đối tượng trả lời lại câu lệnh ”get” đơn ”maxrepeaters” báo cho agent biết cần cố gắng tăng lên tối đa M yêu cầu ”getnext” cho đối tượng lại  Set: Để thay đổi giá trị đối tượng thêm hàng vào bảng Đối tượng cần phải định nghĩa MIB ”read-write” hay ”write-only” NMS dùng ”set’ để đặt giá trị cho nhiều đối tượng lúc:  Get-response: Là thông báo lỗi từ agent  Trap: Là cảnh báo agent tự động gửi cho NMS để NMS biết có tình trạng xấu agent Khi nhận ”trap” từ agent, NMS không trả lời lại ”ACK” Do agent biết lời cảnh báo có tới NMS hay không Khi nhận ”trap” từ agent, tìm xem ”trap number” để hiểu ý nghĩa ”trap”  Notification (SNMPv2 SNMPv3): Để chuẩn hóa định dạng PDU ”trap” SNMPv1 PDU ”get” ”set” khác nhau, SNMPv2 đưa ”NOTIFICATION-TYPE” Định dạng PDU ”NOTIFICATION-TYPE” để nhận ”get” ”set” ”NOTIFICATION-TYPE” định nghĩa RFC 2863  Inform (SNMPv2 SNMPv3): SNMPv2 cung cấp chế truyền thông NMS với nhau, gọi SNMP inform Khi NMS gửi SNMP inform cho NMS khác, NMS nhận gửi trả ACK xác nhận kiện Việc giống với chế “get” “set” SNMP inform dùng để gửi SNMPv2 Trap đến NMS Trong trường hợp agent thông báo NMS nhận Trap  Report (SNMPv2 SNMPv3): Được định nghĩa nháp SNMPv2 không phát triển Sau đưa vào SNMPv3 hy vọng dùng để truyền thông hệ thống SNMP với 105 5.2.2 Một số phần mềm giám sát mạng thường gặp 5.2.2.1 Multi Router Traffic Grapher (MRTG) MRTG công cụ giám sát mạng xuất từ lâu cung cấp thông tin hữu ích Giống tất công cụ khác này, MRTG thu thập thông tin cách sử dụng SNMP (Simple Network Management Protocol) sau hiển thị xu hướng liệu Trong hình , ta xem liệu hàng ngày router giám sát MRTG Đây sức mạnh thực công cụ – chúng cung cấp cho người dùng liệu cần thiết để đưa định cho dịch vụ sở hạ tầng Hình 5.3: Đồ thị biểu liệu hàng ngày MRTG thu 5.2.2.2 Cacti Trước tiên, nói đôi chút thông tin RRDTool công cụ tạo lập trình viên tạo MRTG RRDTool thiết kế với mục đích chung “khả ghi liệu hoạt động tốt lập đồ họa cho toàn hệ thống” Về bản, bạn cần phương pháp để giám sát thứ khoảng thời gian, RRDTool lựa chọn hợp lý Vậy làm với Cacti? Bản chất RRDTool không thực tiện ích Nó cần chế để thu thập liệu background mà RRDTool sử dụng để tạo đồ họa Cacti hệ thống ngoại vi cho RRDTool Nó sử dụng sở liệu MySQL để lưu trữ thông tin RRDTool cần để tạo đồ thị Cacti cho phép người dùng tạo nguồn liệu (thông thường kết nối SNMP để giám sát thiết bị), thu thập liệu từ thiết bị này, cho phép người dùng nhóm đồ họa lại giống 106 hệ thống, cho phép quản lý phân quyền cho người dùng liệu giám sát nhiều tính khác Cũng với MRTG, Cacti cung cấp cho người dùng nhiều khoảng thời gian để xem thông tin thu thập Trong hình , ta biết Cacti thực tốt công việc hiển thị xu hướng thông tin dạng đồ thị Ở bên trái hiển thị, xem cách Cacti cho phép nhóm đồ thị để giúp thứ dễ tìm Cacti yêu cầu người dùng thiết lập từ đầu để sử dụng.Chúng ta tăng tốc trình triển khai cách trả mức phí nhỏ để download máy tính ảo cấu hình trước từ JumpBox Hình 5.4: Cacti giúp việc quản lý nhiều đồ thị dễ dàng 5.2.2.3 Observium Theo thông tin trang web Observium: “Observium công cụ giám sát mạng dựa khả tự động dò tìm PHP/MySQL/SNMP, bao gồm hỗ trợ cho nhiều phần cứng mạng hệ điều hành, bao gồm Cisco, Linux, FreeBSD, Juniper, Brocade, Foundry, HP, ” Phần mềm Observium nhiều người yêu thích Nó cung cấp nhiều thông tin theo cách dễ quản lý Nếu bạn tìm kiếm công cụ quản lý mạng hiệu quả, download sử dụng phần mềm Observium 107 Thêm vào đó, phần mềm hoàn toàn miễn phí Trong hình , ý cách Observium chuyển tất thông tin quan trọng lên trước Bạn xem thông tin trước định dạng dễ đọc Hiǹ h 5.5: Màn hình đồ thị băng thông Observium 5.2.2.4 Nagios Core Nagios công cụ để giám sát hệ thống Điều có nghĩa liên tục kiểm tra trạng thái máy dịch vụ khác máy Mục đích hệ thống giám sát để phát báo cáo hệ thống không hoạt động, sớm tốt, đó, ta nhận thức vấn đề trước người dùng sử dụng Nagios không thực kiểm tra máy chủ dịch vụ máy chủ Nagios Nó sử dụng plugin để thực việc kiểm tra thực tế Điều làm cho có tính linh hoạt cao, giải pháp hiệu cho việc thực kiểm tra dịch vụ Đối tượng giám sát Nagios chia thành hai loại: host dịch vụ Host máy vật lý (máy chủ, định tuyến, máy trạm, máy in vv), dịch vụ chức cụ thể, ví dụ, máy chủ web (một trình xử lý http) định nghĩa dịch vụ giám sát Mỗi dịch vụ có liên quan đến máy chủ dịch vụ chạy Ngoài ra, hai máy dịch vụ nhóm lại thành nhóm dịch cho phù hợp 108 Hình 5.6: Các đối tượng cần giám sát Nagios Nagios có hai ưu điểm lớn nói đến trình giám sát, thay theo dõi giá trị, sử dụng bốn mức độ để mô tả tình trạng: OK, WARNING, CRITICAL, UNKNOW Các mô tả tình trạng đối tượng giám sát cho phép người quản trị giải hay bỏ qua vấn đề hệ thống mà không tốn nhiều thời gian Đây điều Nagios làm Nếu ta theo dõi giá trị số số lượng không gian đĩa tải CPU, ta định nghĩa ngưỡng giá trị để cảnh báo cần thiết Một thuận tiện khác Nagios báo cáo trạng thái dịch vụ hoạt động Báo cáo cung cấp nhìn tổng quan tốt tình trạng sở hạ tầng Nagios cung cấp báo cáo tương tự cho nhóm máy chủ nhóm dịch vụ, cảnh báo dịch vụ quan trọng sở liệu server ngưng hoạt động Báo cáo giúp xác định độ ưu tiên vấn đề vấn đề cần giải trước Nagios thực tất kiểm tra cách sử dụng plugins Đây thành phần bên mà Nagios qua lấy thông tin cần kiểm tra cung cấp cảnh báo cho người quản trị Plugins có trách nhiệm thực kiểm tra phân tích kết Các đầu từ kiểm tra trạng 109 thái (OK, WARNING, CRITICAL, UNKNOW) văn bổ sung cung cấp thông tin dịch vụ cụ thể Văn chủ yếu dành cho quản trị viên hệ thống để đọc trạng thái chi tiết dịch vụ Nagios không cung cấp hệ thống cốt lõi để theo dõi, mà cung cấp tập plugins tiêu chuẩn gói riêng biệt (xem http://nagiosplugins.org/ để biết thêm chi tiết) Những plugin cho phép kiểm tra dịch vụ chạy hệ thống Ngoài ta muốn thực thi kiểm tra đặc biệt, ta tạo plugin riêng cho 110 ... bị mạng để giám sát theo dõi hoạt động mạng Bằng cách sử dụng IDS, quản trị mạng cấu hình hệ thống để hồi đáp giống hệ thống báo động IDS cấu hình để kiểm tra ghi hệ thống, quan sát hoạt động mạng. .. mềm giám sát mạng 101 5.2.1 Giao thức quản lý mạng đơn giản – SNMP 101 5.2.2 Một số phần mềm giám sát mạng thường gặp 106 CHƯƠNG I: TỔ NG QUAN VỀ BẢO MẬT MẠNG VÀ CÁC... SÁT HỆ THỐNG MẠNG 98 5.1 Tổng quan giám sát mạng 98 5.1.1 Khái niệm 98 5.1.2 Các lĩnh vực cần phải giám sát hệ thống mạng 99 5.2 Giao thức quản lý mạng đơn giản