Đang tải... (xem toàn văn)
Tìm hiểu hệ thống giám sát mạng Tìm hiểu về phần mềm nguồn mở Cacti và Nagios Cài đặt và sử dụng Cacti và Nagios trong giám sát mạng Phát hiện hệ thống báo động của chương trình qua tin nhắn (SMS), Email,…. Khảo sát các lỗ hổng bảo mật thông tin, các nguy cơ có thể mất an toàn thông tin và các nguy cơ hệ thống mạng bị xâm nhập, tấn công.
TÓM TẮT Cùng với phát triển hạ tầng mạng dịch vụ mạng ngày phát triển Việc theo dõi, quản lí giám sát chúng vấn đề chung để đảm bảo nguyên tắc an tồn cho hệ thống mạng Do đó, hệ thống giám sát mạng đóng vai trò quan trọng, khơng thể thiếu hạ tầng công nghệ hệ thống thông tin (CNTT) công ty, quan, đơn vị tổ chức doanh nghiệp Hệ thống nhằm cho phép thu thập liệu phân tích vấn đề hệ thống phát sinh trình vận hành sử dụng mạng tổ chức Ngồi ra, hệ thống giám sát phát kịp thời công, điểm yếu, lỗ hổng bảo mật thiết bị, ứng dụng dịch vụ hệ thống Phát kịp thời công hacker hệ thống mạng, máy tính bị nhiễm mã độc,…Cùng với an tồn thông tin mức báo động tội phạm mạng ngày tăng cao mang đến thách thức cho nhà quản trị mạng, buộc phải có biện pháp phòng ngừa ngăn chặn từ xa Những nguy cơng mạng từ phía bên bên ngồi khó kiểm sốt ln vấn đề nhức nhối người quản trị mạng Chính lẽ đó, với mong muốn đảm bảo tình trạng mạng ổn định nhu cầu thực tế mà nhà tuyển dụng mạng cần: quản trị viên hệ thống am hiểu vận hành tốt hệ thống giám sát mạng Hiện nay, thị trường có sản phẩm quản trị mạng thương mại (mã nguồn đóng) giá thành thường cao Bên cạnh phần mềm nguồn mở cho phép triển khai giám sát mạng hiệu Cacti, Nagios,… Chính vậy, nhóm chúng em lựa chọn thực đề tài “Xây dựng hệ thống giám sát mạng dựa mã nguồn mở Cacti Nagios ” Hệ thống giám sát xây dựng mã nguồn mở Cacti Nagios tích hợp vào hệ điều hành Linux thực phát cảnh báo qua mail, audio,… Để từ người quản trị xem xét đưa biện pháp phòng chống bảo vệ hệ thống phù hợp CHƯƠNG PHẦN MỞ ĐẦU 1.1 Đặt vấn đề: Network monitoring hay hiểu giám sát, theo dõi mạng vấn đề trở nên quan trọng việc quản trị hệ thống mạng Nó hạn chế tối đa việc mạng bị gián đoạn q trình hoạt động Nó đảm bảo việc khai thác tài ngun có hiệu quả, đảm bảo an tồn, tin cậy cho dịch vụ cung cấp Như biết Internet đời mang lại nhiều lợi ích cho người, bên cạnh ưu điểm mang đến cho xã hội phát triển vượt bậc, thông tin cập nhật phổ biến rộng rãi, xóa khoảng cách địa lý,… Thì tồn song song nguy cơ, yếu điểm internet, yếu điểm vấn đề an toàn bảo mật hệ thống mạng máy tính Hệ thống mạng máy tính phần tất yếu vô quan trọng quốc gia, doanh nghiệp hay đơn giản hộ gia đình nhỏ, chúng góp phần vào việc tạo nên thành công đặc biệt hệ thống mạng quốc gia hệ thống mạng doanh nghiệp phần lớn cơng việc ngày từ giao dịch đến trao đổi thông tin dựa hệ thống mạng máy tính Đã có doanh nghiệp thực việc thuê đối tác thứ với việc chuyên bảo mật hệ thống mạng bảo mật thông tin cho đơn vị mình, có doanh nghiệp đưa kế hoạch tính tốn chi phí cho việc mua sản phẩm phần mềm để nhằm đáp ứng việc bảo mật Tuy nhiên giải pháp doanh nghiệp phải thực cân đối sách tài năm với mục đích cho giải pháp an tồn thơng tin tối ưu có chi phí rẻ đảm bảo thơng tin trao đổi an tồn, bảo vệ thơng tin đơn vị trước cơng tội phạm cơng nghệ từ bên ngồi mà đề tài xây dựng hệ thống giám sát mạng dựa mã nguồn mở phát triển giúp phần yêu cầu doanh nghiệp an tồn thơng tin bảo mật hệ thống mạng Hiện có nhiều cơng cụ giám sát mạng hỗ trợ cho công việc người quản trị Chức chúng giám sát trạng thái hoạt động thiết bị mạng, dịch vụ mạng máy đầu cuối tham gia vào mạng thông báo cho người quản trị có cố khả xảy cố Có hệ thống thương mại HPopen View, SolarWinds, CiscoWorks,… Tuy nhiên giá thành thường cao khả tùy biến hạn chế Trong phần mềm nguồn mở cho phép triển khai giám sát mạng hiệu Cacti, Nagios, Zabbix,… Mỗi hệ thống lại có ưu nhược điểm riêng Trong số hệ thống giám sát mạng mã nguồn mở Cacti, Nagios phát triển sử dụng rộng rãi Kể từ đời Cacti (2001) Nagios (2002) đến liên tục phát triển quan tâm bỏi cộng đồng Với nhu cầu có hệ thống hỗ trợ giám sát bảo vệ hệ thống mạng trực quan nhằm giúp cho công việc quản trị mạng tập trung đạt hiệu cao tiêu chí hàng đầu Từ phân tích nhóm lựa chọn đề tài “Xây dựng hệ thống giám sát mạng dựa mã nguồn mở Cacti, Nagios” làm đề tài nghiên cứu đồ án 1.2 Mục tiêu đề tài: Mục tiêu nghiên cứu đề tài bao gồm điểm sau: - Tìm hiểu hệ thống giám sát mạng - Tìm hiểu phần mềm nguồn mở Cacti Nagios - Cài đặt sử dụng Cacti Nagios giám sát mạng - Phát hệ thống báo động chương trình qua tin nhắn (SMS), Email,… - Khảo sát lỗ hổng bảo mật thông tin, nguy an tồn thơng tin nguy hệ thống mạng bị xâm nhập, công 1.3 Đối tượng nghiên cứu: Đối tượng nghiên cứu luận văn chương trình phần mềm mã nguồn mở bao gồm: + Các chương trình phần mềm mở phát xâm nhập + Các chương trình phần mềm mở phòng chống xâm nhập + Các chương trình phần mềm mở giám sát lưu lượng hệ thống mạng + Các chương trình phần mềm mở giám sát thiết bị mạng dịch vụ mạng 1.4 Phạm vi nghiên cứu: + Tìm hiểu cơng nghệ, mơ hình, giao thức quản trị mạng + Kiến trúc quản trị mạng mã nguồn mở + Xây dựng mô hình hệ thống giám sát mạng mã nguồn mở Cacti, Nagios 1.5 Phương pháp nghiên cứu : - Thu thập, phân tích tổng hợp tài liệu, thơng tin có liên quan đến đề tài - Xây dựng toán thực nghiệm để chứng minh nghiên cứu lý thuyết đề tài 1.6 Nội dung đề tài: Đề tài tập trung nghiên cứu vấn đề liên quan đến phát xâm nhập trái phép giám sát lưu lượng mạng bao gồm: - Nghiên cứu vai trò hệ thống giám sát mạng - Nghiên cứu giao thức, phần mềm hỗ trợ giám sát mạng - Nghiên cứu hệ thống giám sát mạng sử dụng phần mềm nguồn mở Cacti Nagios - Nghiên cứu khả phát xâm nhập trái phép hệ thống mạng - Nghiên cứu khả phòng chống số phương thức cơng mạng CHƯƠNG TỔNG QUAN VỀ HỆ THỐNG GIÁM SÁT MẠNG 2.1 Khái niệm hệ thống giám sát mạng Hệ thống giám sát mạng phần hệ thống mạng thơng qua cho phép giám sát, thu thập thông tin thành phần hệ thống, phân tích thơng tin, dấu hiệu nhằm đánh giá đưa cảnh báo cho người quản trị hệ thống Đối tượng hệ thống giám sát gồm: máy trạm; sở liệu, ứng dụng, server, thiết bị mạng, Giám sát mạng đạt cách sử dụng phần mềm khác kết hợp plug play, thiết bị phần cứng giải pháp phần mềm Hầu hết loại mạng giám sát Nó khơng quan trọng có dây hay khơng có dây, mạng LAN cơng ty, VNPT hay dịch vụ cung cấp WAN Chúng ta giám sát thiết bị hệ điều hành khác với vô số chức năng: từ BlackBerrys điện thoại di động tới servers, routers switches Những hệ thống giúp bạn xác định hoạt động cụ thể số liệu hiệu suất, đưa kết cho phép giải yêu cầu khác nhau, đưa mối đe dọa an ninh nội cung cấp nhiều hiển thị hoạt động Các bước thực hệ thống giám sát mạng bao gồm: - Thu thập liệu: + Việc thu thập liệu việc lấy thông tin liên quan đến tình trạng hoạt động thiết bị hệ thống mạng Tuy nhiên, hệ thống mạng lớn dịch vụ hay thiết bị không đặt máy, địa điểm mà nằm máy tính, hệ thống riêng biệt Với thiết bị có đặc điểm riêng có loại log khác Log thành phần quan trọng hệ thống mạng lưu lại cách xác hoạt động hệ thống, tình trạng hoạt động ứng dụng, thiết bị hoạt động hệ thống + Để thu thập liệu hệ thống, ta sử dụng phương pháp sau: The Push Method (Phương pháp đẩy): Các kiện từ thiết bị, máy trạm, server tự động chuyển collector theo thời gian thực sau khoảng thời gian phụ thuộc vào việc cấu hình thiết bị tương ứng Các Collector Log Server thực việc nghe nhận kiện chúng xảy Ví dụ như: Netflow, Syslog-ng Message (Syslog-ng gồm thành phần SyslogAgent Syslog-Server), Access-list (ACL),… Hình 2.1 Hệ thống giám sát mạng The Pull Method (Phương pháp kéo): Các collector thu thập từ kiện phát sinh lưu trữ thiết bị lấy collector Hai giao thức phổ biến để thu thập kiện Security Device Event Exchange (SDEE – Gồm thiết bị nằm hệ thống thiết bị phát xâm nhập phát triển ICSA) SNMP (Simple Network Management Protocol – Giao thức hỗ trợ quản lý thiết bị từ xa) - Phân tích liệu Khi thu thập thông tin hệ thống cơng việc phân tích thơng tin, cụ thể việc thực mục hóa liệu phát điều bất thường, mối đe dọa hệ thống Dựa thông tin lưu lượng truy cập, trạng thái truy cập, định dạng request Hình 2.2 Biếu đồ phân tích liệu - Cảnh báo Sau thực việc phân tích liệu từ thơng tin thu thập việc thực việc đánh giá, dựa vào thông tin cảnh báo tới người quản trị thực công tác nhằm chống lại mối đe dọa, khắc phục cố xảy Cảnh báo thơng qua email, SMS thực thi mã script nhằm hạn chế hậu cố Khi xảy cố, hệ thống tự động gửi email, sms cho người quản trị chạy script để thêm địa IP có biểu cơng danh sách đen Firewall 2.2 Vai trò hệ thống giám sát mạng Hệ thống giám sát mạng đóng vai trò quan trọng, khơng thể thiếu hạ tầng công nghệ thông tin (CNTT) quan, đơn vị, tổ chức Hệ thống cho phép thu thập, chuẩn hóa, lưu trữ phân tích tương quan tồn kiện an toàn mạng sinh hệ thống CNTT tổ chức Ngoài ra, hệ thống giám sát an toàn mạng phát kịp thời công mạng, điểm yếu, lỗ hổng bảo mật thiết bị, ứng dụng dịch vụ hệ thống, phát kịp thời bùng nổ virus hệ thống mạng, máy tính bị nhiễm mã độc, máy tính bị nghi ngờ thành viên mạng máy tính ma (botnet) Hệ thống giám sát mạng giúp định hướng môi trường mạng phức tạp, đưa báo cáo nhận định để đảm bảo công tác giám sát mạng an tồn hiệu Thơng qua hệ thống giám sát mạng giúp cho người quản trị hệ thống: Xác nhận việc tuân thủ quy định sách Tiết kiệm chi phí tiềm lực cách tìm nguồn liệu dư thừa Giải hiểu việc bị lấy cắp thông tin Trợ giúp xác định xuất nhân viên Spot tải thiết bị trước mang xuống mạng lưới Xác định liên kết mạng diện rộng yếu thắt cổ chai Do độ trễ chuyển tải liệu bị trễ Tìm bất thường mạng nội cho biết mối đe dọa an ninh 2.3 Giao thức sử dụng hệ thống giám sát mạng Để có thơng tin cho việc giám sát trạng thái hoạt động thiết bị dịch vụ mạng Trong hệ thống giám sát sử dụng giao thức SNMP (Simple Network Management Protocol) giao thức ICMP (Internet Control Message Protocol) 2.3.1 Giao thức SNMP (Simple Network Management Protocol) 2.3.1.1 Giới thiệu giao thức SNMP (Simple Network Message Protocol) - Vào đầu năm 1988, Tổ chức kiến trúc Internet IAB (Internet Architecture Board) nhận thấy cần thiết có cơng cụ quản lí cho TCP/IP nên cho đời RFC 1052.RFC 1052 u cầu tiêu chuẩn hóa quản lí mạng tập trung vào vấn đề quản lí mạng phải thực hiện: + Đảm bảo tính mở rộng + Đảm bảo tính đa dạng để phát triển + Đảm bảo tính đa dạng quản lí + Bao trùm nhiều lớp giao thức - SNMP giao thức sử dụng cho mục đích theo dõi trạng thái hoạt động thiết bị giúp nhà quản trị mạng quản lý, thay đổi trạng thái mạng SNMP làm nhiệm vụ thu thập thông tin từ thiết bị mạng (Router, Switch, Server,…) cần giám sát gửi cho chương trình giám sát để phân tích sử dụng để hiển thị giao diện quản trị thông tin cần thiết theo mục đích chương trình giám sát 2.3.1.2 Ưu điểm phiên giao thức a) Ưu điểm sử dụng giao thức SNMP SNMP thiết kế để đơn giản hóa q trình quản lý thành phần mạng Nhờ phần mềm SNMP phát triển nhanh tốn chi phí SNMP thiết kế để mở rộng chức quản lý, giám sát Khi có thiết bị với thuộc tính, tính người ta thiết kế tùy chọn SNMP để phục vụ cho riêng SNMP thiết kế hoạt động độc lập với kiến trúc chế thiết bị hỗ trợ SNMP Các thiết bị khác có hoạt động khác hoạt động dựa giao thức SNMP giống b) Các phiên giao thức SNMP Hiện SNMP có phiên bản: SNMPv1, SNMPv2 SNMPv3 Các phiên khác chút định dạng tin phương thức hoạt động Hiện SNMPv1 phổ biến có nhiều thiết bị tương thích có nhiều phần mềm hỗ trợ 2.3.2 Giao thức ICMP (Internet Control Message Protocol) ICMP giao thức thông điệp điều khiển TCP/IP, cung cấp phương tiên thông tin liên lạc phần mềm IP máy phần mềm IP máy khác Nó sử dụng trao đổi thơng tin điều khiển dòng liệu, thơng báo lỗi thông tin trạng thái giao thức TCP/IP - Điều khiển lưu lượng (flow control) gói liệu đến nhanh, thiết bị đích thiết bị định tuyến gửi thông điệp ICMP trở lại thiết bị gửi, yêu cầu thiết bị gửi tạm thời ngừng gửi liệu - Thông báo lỗi trường hợp khơng tới địa đích hệ thống gửi thông báo lỗi “Destination unsearchable” Định hướng lại tuyến (Redirect Router) Một router gửi thông điệp ICMP cho máy trạm thông báo nên sử dụng router khác Thơng điệp dùng trạm nguồn mạng với thiết bị định tuyến - Kiểm tra máy trạm xa cách máy trạm gửi thông điệp ICMP “Echo” để kiểm tra trạm có hoạt động hay khơng - Các loại thơng điệp ICMP thông điệp ICMP chia tách thành nhóm: thơng điệp truy vấn thông điệp báo lỗi Các thông điệp truy vấn giúp quản trị mạng nhận thông tin xác định từ node mạng khác Các thông điệp thông báo lỗi liên quan đến vấn đề mà định tuyến hay trạm phát xử lý gói IP ICMP sử dụng địa nguồn để gửi thông điệp báo lỗi cho node nguồn gói IP - Thơng điệp truy vấn: + Hỏi phúc đáp Echo (Echo Request Echo Reply) + Hỏi phúc đáp nhãn thời gian (Timestamp Request Timestamp Reply) + Yêu cầu phúc đáp đáp mặt nạ địa (Address mask Request Address mask Reply) + Yêu cầu quảng bá định tuyến (Router soliciation Router advertisement) - Thông điệp thông báo lỗi: + Không thể đạt tới đích (Destination Unreachable) + Yêu cầu ngừng giảm tốc độ phát (Source Quench) + Định hướng lại (Redirection) + Vượt ngưỡng thời gian (Time Exceeded) 2.4 Lỗ hổng bảo mật phương thức công 2.4.1 Phân loại số lỗ hổng bảo mật 2.4.1.1 Khái niệm lỗ hổng bảo mật Các lỗ hổng bảo mật hệ thống điểm yếu tạo nên ngưng trệ dịch vụ, thêm quyền người sử dụng cho phép truy cập bất hợp pháp vào hệ thống Các lỗ hổng bảo mật nằm dịch vụ cung cấp Web, Email, FTP, … Ngồi chương trình ứng dụng hay dùng chứa lỗ hổng bảo mật Word, hệ sở liệu SQL… 2.4.1.2 Phân loại lỗ hổng bảo mật Hiện việc phân loại lỗ hổng bảo mật phân thành loại: - Loại C – nguy hiểm Các lỗ hổng bảo mật thuộc loại thường cho phép thực việc công DoS DoS hình thức cơng sử dụng giao thức tầng ứng dụng giao thức TCP/IP để làm hệ thống ngưng trệ, tràn đệm dẫn đến tình trạng từ chối tất yêu cầu người sử dụng hợp pháp truy cập hay sử dụng hệ thống Một số lượng lớn gói tin gửi tới server khoảng thời gian liên tục làm cho hệ thống trở nên tải, kết server đáp ứng chậm đáp ứng yêu cầu từ client gửi tới Các dịch vụ có chứa đựng lỗ hổng cho phép thực công DoS nâng cấp sửa chữa phiên nhà cung cấp dịch vụ Hiện nay, chưa có giải pháp tồn diện để khắc phục lỗ hổng loại thân việc thiết kế giao thức tầng Internet (IP) nói riêng giao thức TCP/IP chứa đựng nguy tiềm tàng lỗ hổng Tuy nhiên, mức độ nguy hiểm lỗ hổng loại xếp loại C; nguy hiểm chúng làm gián đoạn cung cấp dịch vụ hệ thống thời gian mà không làm nguy hại đến liệu người công không đạt quyền truy nhập bất hợp pháp vào hệ thống Một lỗ hổng loại C khác thường thấy điểm yếu dịch vụ cho phép thực công làm ngưng trệ hệ thống người sử dụng cuối; Chủ yếu hình thức công sử dụng dịch vụ Web Người quản trị hệ thống Website trường hợp khởi động lại hệ thống Một lỗ hổng loại C khác thường gặp hệ thống mail không xây dựng chế anti-relay (chống relay) cho phép thực hành động spam mail Như biết, chế hoạt động dịch vụ thư điện tử lưu chuyển tiếp; số hệ thống mail khơng có xác thực người dùng gửi thư, dẫn đến tình trạng đối tượng công lợi dụng máy chủ mail để thực spam mail; Spam mail hành động nhằm tê liệt dịch vụ mail hệ thống cách gửi số lượng lớn messages tới địa khơng xác định, máy chủ mail ln phải tốn lực tìm địa khơng có thực dẫn đến tình trạng ngưng trệ dịch vụ Số lượng messages sinh từ chương trình làm bom thư phổ biến mạng Internet - Loại B – nguy hiểm Các lỗ hổng loại có mức độ nguy hiểm lỗ hổng loại C, cho phép người sử dụng nội chiếm quyền cao truy nhập không hợp pháp Những lỗ hổng loại thường xuất dịch vụ hệ thống Người sử dụng local hiểu người có quyền truy nhập vào hệ thống với số quyền hạn định Một dạng khác lỗ hổng loại B xảy chương trình có mã nguồn viết ngơn ngữ lập trình C Những người lập trình thường sử dụng vùng đệm nhớ trước gán khoảng không gian nhớ cho khối liệu Với khai báo này, cho phép người sử dụng nhập vào tối đa 20 ký tự Khi nhập liệu, trước tiên liệu lưu vùng đệm; người sử dụng nhập vào 35 ký tự; xảy tượng tràn vùng đệm kết 15 ký tự dư thừa nằm vị trí khơng kiểm sốt nhớ Đối với người cơng, lợi dụng lỗ hổng để nhập vào ký tự đặc biệt, để thực thi số lệnh đặc biệt hệ thống Thông thường, lỗ hổng thường lợi dụng người sử dụng hệ thống để đạt quyền root không hợp lệ Việc kiểm sốt chặt chẽ cấu hình hệ thống chương trình hạn chế lỗ hổng loại B - Loại A – nguy hiểm Các lỗ hổng loại A có mức độ nguy hiểm, đe dọa tính tồn vẹn bảo mật hệ thống Các lỗ hổng loại thường xuất hệ thống quản trị yếu khơng kiểm sốt cấu hình mạng Một ví dụ thường thấy nhiều hệ thống sử dụng Web Server Apache Những lỗ hổng loại nguy hiểm tồn sẵn có phần mềm sử dụng; người quản trị không hiểu sâu dịch vụ phần mềm sử dụng bỏ qua điểm yếu Các loại bảo mật nêu phân loại chúng thành mức độ điểm yếu bảo mật sau: - Điểm yếu kỹ thuật: bao gồm kỹ thuật gồm có điểm yếu giao thức, hệ điều hành thiết bị phần cứng Server, Router, Switch - Điểm yếu cấu hình hệ thống: bao gồm lỗi nhà quản trị tạo ra, lỗi thiếu sót việc cấu hình hệ thống như: không đảm bảo thông tin mật tài khoản khách hàng, hệ thống tài khoản với mật dễ dàng đoán biết, sử dụng cấu hình mặc định thiết bị - Điểm yếu sách bảo mật: sách bảo mật mô tả việc làm đâu sách bảo mật thực Đây điều kiện quan trọng giúp việc bảo mật có hiệu tốt 2.4.2 Một số phương thức công mạng Để hạn chế khả chiếm dụng tài nguyên lưu lượng hệ thống mạng, phải xác định lỗ hổng phương pháp cơng chủ yếu để có biện pháp giám sát ngăn chặn Một công mạng kẻ công thường thực qua bước sau: - Bước 1: Khảo sát, thu thập thông tin: kẻ công thu thập thông tin nơi công phát máy chủ, địa IP, dịch vụ mạng,… - Bước 2: Dò tìm: kẻ cơng sử dụng thơng tin thu thập từ bước để sử dụng tìm kiếm thêm thông tin lỗ hổng, điểm yếu hệ thống mạng Các công cụ thường sử dụng cho q trình cơng cụ qt cổng, qt IP, dò tìm lỗ hổng,… - Bước 3: Xâm nhập: lỗ hổng tìm thấy bước kẻ công sử dụng, khai thác để xâm nhập vào hệ thống Ở bước này, kẻ cơng sử dụng kỹ thuật từ chối dịch vụ (DoS), gây tràn nhớ đệm - Bước 4: Duy trì xâm nhập: kẻ công xâm nhập vào hệ thống, bước để trì xâm nhập khai thác xâm nhập tiếp tương lai Một vài kỹ thuật backdoors, trojans, virus sử dụng Một kẻ công làm chủ hệ thống, chúng gây nguy hại cho hệ thống đánh cắp thơng tin Ngồi ra, sử dụng hệ thống để cơng vào hệ thống khác loại công DdoS - Bước 5: Che đậy, xóa dấu vết: kẻ công xâm nhập cố gắng trì xâm nhập Bước chúng phải xóa hết dấu vết để khơng chứng pháp lí xâm nhập Kẻ cơng phải xóa tập tin log, xóa cảnh báo từ hệ thống phát xâm nhập 2.5 Các giải pháp phát phòng chống cơng mạng 2.5.1 Các biện pháp phát phòng chống cơng mạng - Phát xâm nhập tập hợp kỹ thuật phương pháp dùng để dò tìm hoạt động đáng nghi ngờ mạng Một hệ thống phát xâm nhập định nghĩa tập hợp công cụ, phương thức, tài nguyên giúp người quản trị xác định, đánh giá báo cáo hoạt động khơng phép mạng Các biện pháp là: - Kiểm tra dấu hiệu hệ thống bị công: hệ thống thường bị treo bị crash thơng báo lỗi khơng rõ ràng, khó xác định nguyên nhân hệ thống bị treo thiếu thông tin liên quan - Kiểm tra tài khoản người dùng hệ thống: số tài khoản lạ, uid tài khoản zero - Kiểm tra xuất tập tin lạ Thường phát thông qua cách đặt tên tập tin, người quản trị hệ thống nên có thói quen đặt tên tập tin theo mẫu định để dễ dàng phát tập tin lạ Thực lệnh liệt kê danh sách tập tin hệ thống để kiểm tra thuộc tính setuid setgid tập tin đáng ý (đặc biệt tập tin scripts) 10 CHƯƠNG 4: GIÁM SÁT VÀ THỰC NGHIỆM HỆ THỐNG 4.1 Giám sát host windows Host windows: dùng để quan sát lập lịch luồng traffic cho máy cần có kích hoạt dịch vụ snmp máy windows Start-> Control Panel -> Unistall-> Turn Windows features on or off Kích hoạt dịch vụ SNMP service lên Hình 4.1 Bật snmp Sau vào Services Windows kích hoạt Hình 4.2 Kích hoạt snmp 51 Sau khởi động lại dịch vụ snmp Tải template cho windows https://github.com/mrlesmithir/cacti/ Vào Console cacti-> Devices-> Add Hình 4.3 Snmp windows Chọn Create Graph for this host Hình 4.4 Devices windows Bật enable lên Sau vào Graph Trees-> Add 52 53 Hình 4.5.Đồ thị máy Windows + Ý nghĩa đồ thị: Users: người dùng Running processes: tiến trình chạy Inbound: luồng liệu vào Outbound: luồng liệu Average: trung bình Maximum: lớn Current: 4.2 Giám sát host linux + Cài đặt cấu hình SNMP Linux Server CentOS cần theo dõi yum -y install net-snmp-utils net-snmp + Cấu hình SNMP string community file /etc/snmp/snmpd.conf cp /etc/snmp/snmpd.conf /etc/snmp/snmpd.conf.org vim /etc/snmp/snmpd.conf /* thêm string community snmp */ rocommunity public + Khởi động SNMP service chkconfig snmpd on service snmpd start + Thêm thiết bị cần theo dõi vào Cacti site : Chọn Device -> Add 54 Chọn Create Graph for this host Hình 4.6 Tạo máy linux Bật enable lên Sau vào Graph Trees-> Add Hình 4.7 Đồ thị máy Linux1 Hình 4.8 Đồ thị máy Linux 55 Hình 4.9 Đồ thị máy Linux + Ý nghĩa đồ thị: Used: liệu sử dụng Available: liệu dư Total: liệu tổng cộng Users: người dùng Running processes: tiến trình chạy minutes average: trung bình phút minutes average: trung bình phút 15 minutes average: trung bình 15 phút 4.3 Thiết lập số cảnh báo qua mail âm - Qua mail: Chúng ta cài đặt plugin thold enable lên Đối với email nhận phải bật chế độ cho phép email nhận mail từ ứng dụng khơng an tồn hay bảo mật thấp Truy cập https://www.google.com/settings/security/lesssecureapps/ 56 Hình 4.10 Ứng dụng bảo mật Thiết lập thông số sau: host mail ssl://smtp.gmail.com Hình 4.11 Mail/DNS Nhấn Send Test Email 57 Hình 4.12 Send test email Như gửi mail thành cơng Hình 4.13 Check email - Thiết lập cảnh báo Audio 58 Cài đặt plugin Monitor ta vào Settings-> Misc Thiết lập thơng số Hình 4.14 Thiết lập thơng số misc Vào Monitor Hình 4.15 Monitoring 4.4 Thống kê tình trạng hoạt động số host/ services 4.4.1 Host Localhost Hình 4.16 Host localhost 59 Hình 4.17 Host localhost Hình 4.18 Host localhost 60 Hình 4.19 Host linh Hình 4.20 Host linh 61 Hình 4.21 Network Map For All Hosts 4.4.2 Service Hình 4.22 Service for all hosts 62 4.5 So sánh mã nguồn mở Cacti, Nagios với Zabbix 4.5.1 Mã nguồn mở Cacti - Ưu điểm: + Cacti hệ thống giám sát giao diện web khác viết ngôn ngữ PHP cấp phép theo GPL + Không giống Nagios mô tả trên, Cacti thiết kế chủ yếu thể kết dạng đồ thị (Graph) + Cacti thăm dò dịch vụ khác sau cho người dùng thấy kết giám sát dạng đồ thị Nó sử dụng RRDTool để xây dựng đồ thị - Nhược điểm: + Cacti khơng cung cấp cảnh báo bạn nên cài đặt plugin bên thứ ba (Third party) để tích hợp kèm theo bạn sử dụng giải pháp khác Nagios Zabbix 4.5.2 Mã nguồn mở Nagios - Ưu điểm: + Đây hệ thống giám sát Linux hiển thị kết web phổ biến nay, thực tiêu chuẩn công nghiệp để theo dõi sở hạ tầng CNTT + Điều quan trọng Nagios hỗ trợ loạt cảnh báo email, tin nhắn SMS, chat chí thơng báo gọi điện thoại + Một vấn đề quan trọng Nagios giám sát khơng hiển thị kết giám sát dạng đồ thị điều ưu điểm tốt so với công cụ giám sát khác + Đặc biệt có khả giám sát phân tán nên hỗ trợ tối đa 100000 node + Độ ổn định cao, tốn tài nguyên, giao diện đẹp Nhược điểm: + Khơng có khả tự động nhận biết thiết bị giám sát mạng mà cần phải định nghĩa Nagios Server + Một số thiết bị chưa thể giám sát Access Point,… + Triển khai khó phải thực Centos 4.5.3 Mã nguồn mở Zabbix - Ưu điểm: + Zabbix hệ thống giám sát với chức đầy ấn tượng mạnh mẽ, cấp phép theo GPL viết ngôn ngữ PHP + Sử dụng Zabbix bạn tạo đồ máy chủ, nhóm máy chủ nhiều loại khác + Zabbix thu thập liệu từ máy chủ xa nơi Zabbix Agent/client chạy + Zabbix có loại đồ thị bao gồm số liệu thống kê mạng, tải CPU, RAM… - Nhược điểm: + Zabbix phức tạp người bắt đầu 63 CHƯƠNG KẾT LUẬN 5.1 Kết luận Với đề tài “ Xây dựng hệ thống giám sát mạng dựa mã nguồn mở” thu kết sau: - Sau thực hành với mục tiêu xây dựng thiết kế hệ thống giám sát mạng để đem lại hiệu suất cao cho công tác quản trị hệ thống việc sử dụng mã nguồn mở Cacti Nagios - Thêm vào vận hành hệ thống tích hợp giúp củng cố thêm kiến thức bảo mật cho hệ thống toàn diện tránh nguy xâm nhập từ bên - Hiểu chế hoạt động chống xâm nhập giám sát lưu lượng mạng host, service host với Cacti, Nagios,… - Hiểu giao thức SNMP - Hiểu chế hoạt động hệ thống phát phòng chống xâm nhập mạng - Nắm chế hoạt động hệ thống giám sát thiết bị dịch vụ Nagios - Cài đặt cấu hình hệ thống giám sát mạng dựa vào phần mềm mã nguồn mở Cacti Nagios - Cài đặt hệ thống báo động qua Web, Email SMS 5.2 Những nguyên cứu tiếp theo: - Thực thêm số chức giám sát tập trung gửi tin nhắn cảnh báo cho quan trị hệ thống biết tình trạng hệ thống mạng - Xây dựng hệ thống cảnh báo chống công từ bên vào hệ thống mạng - Nghiên cứu sâu hệ thống giám sát mạng Cacti, Nagios công cụ hỗ trợ giám sát - Phát triển chức Cacti, Nagios như: chức cảnh báo qua điện thoại di động 64 TÀI LIỆU THAM KHẢO - Tài liệu tiếng việt: [1] Huỳnh Nguyên Chính (2014), Hệ thống giám sát mạng ; Lưu hành nội Trường ĐH Sư Phạm Kỹ Thuật TP HCM [2] Nguyễn Thành Cương –Mai Như Thành (2002), Hướng dẫn thiết lập quản trị mạng, Nhà xuất Thống kê [3] Tống Văn On (2004), Mạng máy tính, Nhà xuất Thống kê - Tài liệu tiếng anh: [4] Douglas Mauro, Kevin Schmidt, Essential SNMP, 2nd Edition, Publisher: O'Reilly, Pub Date: September 2005 [5] Mani Subramanian, Network Management: Principles and Practice, Publisher: Addison-Wesley, 2000 [6] Max Schubert, Nagios Enterprise Network Monitoring Including Plug-Ins and Hardware Devices, May 2008 [7] Thomas Urban, Cacti 0.8, Publisher: Packt, 2011 [8] Wojciech Kocjan, Learning Nagios 3.0, Packt Publishing, October 2008 [9] Wolfgang Barth, Nagios System and Network Monitoring, No Starch Press, 2006 - Các website tham khảo: https://my.oschina.net/leeypp1/blog/293678 https://sites.google.com/site/ryanmelissari/home/nagios-on-centos-63 http://www.cactifans.org/cacti/409.html https://www.server-world.info/en/note?os=CentOS_6&p=cacti&f=4 http://www.tecmint.com/install-nagios-in-linux/ https://www.urban-software.com/cacti-howtos/cacti/installing-cacti/ 65