Nghiên cứu hệ thống giám sát, chống tấn công mạng

Tình hình an ninh mạng hiện nayCác nguy cơ từ mã độc, tấn công từ chối dịch vụ, xu hướng “Internet of Things” khái niệm chỉ các thiết bị kết nối được với nhau và kết nối vớiInternet là “

NGHIÊN CỨU HỆ THỐNG GIÁM SÁT, CHỐNG TẤN CÔNG MẠNG

Chuyên ngành: Khoa học máy tính

Mã số: 60 48 0101

LUẬN VĂN THẠC SĨ: KHOA HỌC MÁY TÍNH

THÁI NGUYÊN, NĂM 2015

~ ii ~

h t t p: // www l r c - t nu e d u v n /

Số hóa bởi Trung tâm Học liệu -

ĐHTN

LỜI CAM ĐOAN

Học viên xin cam đoan luận văn “Nghiên cưu hê thông giam sat ,

chông tân công mang” là công trình nghiên cứu của chính bản thân học

viên Các nghiên cứu trong luận văn này dựa trên những tổng hợp kiến thức lýthuyết đã được học, và sự hiểu biết thực tế dưới sự hướng dẫn khoa học củaThầy giáo TS Hồ Văn Hương

Các tài liệu tham khảo được trích dẫn đầy đủ nguồn gốc Học viênxin chịu trách nhiệm và chịu mọi hình thức kỷ luật theo quy định cho lời camđoan của

mình

Thái Nguyên, ngày 20 tháng 8 năm

2015

Học viên thực hiện

Lê Mỹ Trường

đã tạo điều kiện tốt nhất cho học viên học tập và hoàn thành luận văn này.

Đặc biệt, học viên xin được gửi lời cám ơn đến thầy giáo hướng dẫn họcviên TS Hồ Văn Hương - Ban cơ yếu Chính phủ, thầy đã tận tình chỉ bảogiúp đỡ học viên trong suốt quá trình nghiên cứu để hoàn thành luận văn

Cuối cùng cho phép tôi xin cảm ơn Lãnh đạo, đồng nghiệp, bạn bè, giađình đã giúp đỡ, động viên ủng hộ tôi rất nhiều trong toàn bộ quá trình họctập cũng như nghiên cứu để hoàn thành luận văn này

Thái Nguyên, ngày 20 tháng 8 năm 2015

Học viên thực hiện

~ iviviv

1.6.2.1 Phương thưc Poll - 7

1.6.2.2 Phương thức Alert -7

1.6.2.3 So sánh phương thức Poll và Alert - 8

1.6.3 Giao thức quản lý giám sát mạng SNMP .9

1.6.3.1 Giơi thiêu SNMP -9

1.6.3.2 Ưu điêm cua thiêt kê SNMP - 10

1.6.3.3 Các phiên bản của SNMP - 10

1.6.4 Kiến trúc giao thức SNMP .11

1.6.4.1 Các thành phần chính của SNMP

-11 1.6.4.2 ObjectID - 11

1.6.4.3 Object access - 13

1.6.4.4 Cơ sở thông tin quản trị MIB - 14

1.6.5 Các phương thức của SNMP .15

1.6.5.1 GetRequest - 15

1.6.5.2 SetRequest - 16

1.6.5.3 GetResponse - 16

1.6.5.4 Trap - 16

1.6.6 Các cơ chế bảo mật cho SNMP .17

1.6.6.1 Community string - 17

1.6.6.2 View - 17

1.6.6.3 SNMP access control list - 17

1.6.6.4 RMON - 18

1.6.7 Cấu trúc bản tin SNMP .18

1.6.8 Hệ thống phát hiện và ngăn chặn xâm nhập mạng (IDS/ IPS) 18

1.6.8.1 Giới thiệu về IDS/IPS - 18

1.6.8.2 Các thành phần và chức năng của IDS/IPS - 19

1.6.8.3 Phân loại IDS - 20

1.6.8.4 Cơ chế hoạt động của hệ thống IDS/IPS - 23

CHƯƠNG 2 NGHIÊN CỨU BỘ CÔNG CỤ GIÁM SÁT, CHỐNG TẤN CÔNG MẠNG

26

2.1 Giới thiệu chung

262.2 Bộ công cụ giám sát mạng – Cacti

26

2.2.1 Kiến trúc của Cacti

26

2.2.2 Nguyên tắc hoạt động 28

2.2.3 Các tính năng chính .29

2.2.4 Lưu trữ và xử lý dữ liệu trong hệ thống giám sát mạng Cacti .32

2.3 Bộ công cụ chống tấn công mạng - Snort .34

2.3.1 Kiến trúc của Snort 34

2.3.1.1 Module giải mã gói tin - 35

2.3.1.2 Module tiền xử lý - 36

2.3.1.3 Module phát hiện - 38

2.3.1.4 Module log và cảnh báo - 39

2.3.1.5 Module kết xuất thông tin - 39

2.3.2 Bộ luật của Snort .40

2.3.2.1 Phần tiêu đề - 40

2.3.2.2 Các tùy chọn - 43

2.3.3 Chế độ ngăn chặn của Snort: Snort – Inline 46

2.3.3.1 Các chế độ thực thi của Snort - 46

2.3.3.2 Nguyên lý hoạt động của inline mode - 47

CHƯƠNG 3 NGHIÊN CỨU ỨNG DỤNG MÃ NGUỒN MỞ CACTI VÀ SNORT

49

3.1 Giới thiệu về hệ thống giám sát, chống tấn công mạng 49

3.2 Xây dựng mô hình giả lập để thử nghiệm giám sát, chống tấn công mạng 49

3.2.1 Mô hình mạng trường 49

3.2.2 Đề xuất mô hình .50

3.2.3 Mô hình mạng thử nghiệm 51

3.2.4 Triển khai thử nghiệm giám sát mạng .51 3.2.5 Triển khai thử nghiệm chống tấn công

mạng 603.2.5.1 Cấu hình Snort - 603.2.5.2 Chương trình Snort - 643.3 Đánh giá kết quả thực nghiệm

DANH MỤC CÁC TỪ VIẾT TẮT TRONG LUẬN VĂN

FTP File Tranfer Protocol Giao thức truyền tập tin

HTTP Hyper Text Tranfer Protocol Giao thức truyền tải siêu văn bản

MIB Management Information Base Cơ sở thông tin quản lý

SNMP Simple Network Managerment

Protocol

Giao thức quản lý mạng đơn giản

IDS Intrusion Detection System Hệ thống phát hiện xâm nhậpIPS Intrusion Prevention System Hệ thống ngăn chặn xâm nhậpH-IDS Host Based Intrusion Detection

VPN Vitual Private Network Mạng riêng ảo

CPU Central Processing Unit Đơn vị xử lý trung tâm

DDOS Distributed Denial of Service Phân phối từ chối dịch vụ

TCP Transmission Control Protocol Giao thức kiểm soát

UDP User Datagram Protocol Giao thức sử dụng dữ liệu

ICMP Internet Control Message

~ viii ~ 34

Hinh 2.10 Quy trình xử lý một gói tin Ethernet

51Hình 3.4 Màn hình giao diện Cacti khởi động cài đặt 52

~ x ~

DANH MỤC CÁC BẢNG BIỂUBảng 1.1 So sánh hai phương thức Poll và

Alert Bảng 1.2 Các phương thức hoạt động

của SNMP Bảng 2.1 Các module tiền xử lý

Bảng 2.2 Các cờ sử dụng với từ khoá flags

~ xi ~

Số hóa bởi Trung tâm Học liệu - ĐHTN h t t p: // www l r c -

t nu e d u v n /

vụ tấn công của tin tặc đã khiến nhận thức và mối quan tâm của xã hội đối vớivấn đề này càng sâu sắc và rõ nét hơn trong những năm tới.

Các chuyên gia an ninh mạng đã đoán trước rằng trong kỷ nguyênInternet di động, vấn đề khủng khiếp nhất sẽ là an ninh, dự đoán này bây giờđang trở thành thực tế Trong những năm gần đây, các website trên Internet,cũng như các dữ liệu của các doanh nghiệp, tổ chức, chính phủ,… đã bị nhiềuđợt tấn công của các tội phạm mạng Đã có nhiều website, hệ thống mạng bịngưng hoạt động trong nhiều giờ, nhiều dữ liệu quan trọng đã bị đánh cắp.Những vụ tấn công đã gây ra thiệt hại nghiêm trọng và tác động tiêu cực, ảnhhưởng trực tiếp đến nhiều cá nhân, công việc kinh doanh của các doanhnghiệp, ảnh hưởng đến nền an ninh quốc phòng của nhiều quốc gia

Các vụ tấn công mạng ngày càng gia tăng, với nhiều loại hình tấn công vàmức độ ngày càng nghiêm trọng Những kẻ tấn công cũng có nhiều mục đíchkhác nhau như: chính trị, tài chính, tôn giáo, gián điệp, khủng bố… nhằm đánhcắp dữ liệu, phá hủy dữ liệu, làm cho hệ thống bị ngưng hoạt động, hoạt độngchậm…

Tấn công mạng và chiến tranh không gian mạng ngày càng trở nênnghiêm trọng Vì vậy việc nghiên cứu các hê th ống giam sat , chông tân côngmạng và ứng dụng trong phòng thủ mạng để đảm bảo mạng hoạt động ổnđịnh, bảo đảm an toàn thông tin trên mạng là việc làm rất cần thiết Giải quyếtvấn đề an ninh mạng là việc làm của cả xã hội và là vấn đề cấp bách hiên nay.Với tình hình cấp thiết như trên, em xin mạnh dạn nghiên cứu và triển

khai thành luận văn với đề tài: “Nghiên cưu hê thông giam sat, chông tân

công mang”.

2 Mục tiêu nghiên cứu

+ Tìm hiểu rõ về hệ thống giam sat , chống tấn công mạng mã nguồn mở.

+ Nghiên cứu triển khai các ứng dụng mã nguồn mở giám sát, chống tấncông mạng (Cacti, Snort)

3 Đối tượng và phạm vi nghiên cứu

- Đối tượng của đề tài:

+ Một số phương thức giám sát, chống tấn công mạng: Poll, Alert, SNMP, IDS/IPS

+ Bộ công cụ mã nguồn mở: Cacti, Snort

- Phạm vi nghiên cứu:

+ Tìm hiểu về công nghệ, mô hình, giao thức giám sát mạng

+ Kiến trúc giám sát mạng mã nguồn mở

+ Chức năng, phân loại, cơ chế hoạt động của hệ thống chống tấn công mạng

4 Phương pháp nghiên cứu

+ Phương pháp nghiên cứu lý thuyết: Tông hơp tai liêu, phân tich, suy diên

+ Xây dựng bài toán mô phong , thực nghiệm để chứng minh những nghiên cứu về lý thuyết của đề tài

5 Ý nghĩa khoa học của đề tài

6 Bố cục của luận văn

Dựa trên đối tượng và phạm vi nghiên cứu, luận văn sẽ được phân làm 3 chương chính với các nội dung cụ thể như sau:

Chương 1 Tổng quan an ninh mạng

Chương 2 Nghiên cứu bộ công cụ giam sat , chông tân công mạng

Chương 3 Nghiên cứu ứng dụng mã nguồn mở cacti và Snort

CHƯƠNG 1 TỔNG QUAN AN NINH MẠNG 1.1 Tình hình an ninh mạng hiện nay

Các nguy cơ từ mã độc, tấn công từ chối dịch vụ, xu hướng “Internet

of Things” (khái niệm chỉ các thiết bị kết nối được với nhau và kết nối vớiInternet) là “mồi ngon” của tin tặc… sẽ đe dọa tình hình an ninh mạng tại ViệtNam

1.2 Các yếu tố đảm bảo an toàn thông tin

- Tính bí mật: Thông tin phải đảm bảo tính bí mật và được sử dụng đúng đối tượng

- Tính toàn vẹn: Thông tin phải đảm bảo đầy đủ, nguyên vẹn về cấu trúc

- Tính sẵn sàng: Thông tin phải luôn sẵn sàng để tiếp cận, để phục vụ theo đúng mục đích và đúng cách

- Tính chính xác: Thông tin phải chính xác, tin cậy

- Tính không khước từ (chống chối bỏ): Thông tin có thể kiểm chứng được nguồn gốc hoặc người đưa tin

1.3 Các mối đe dọa đến an toàn thông tin

Các mối đe dọa đến an toàn hệ thống là các hành động hoặc các sựkiện/hành vi có khả năng xâm hại đến độ an toàn của một hệ thống thông tin

- Mục tiêu đe dọa tấn công: Chủ yếu là các dịch vụ an ninh

 Khả năng bảo mật thông tin: Sẽ bị đe dọa nếu thông tin không được bảo mật

 Tính toàn vẹn của thông tin: Đe dọa thay đổi cấu trúc thông tin

 Tính chính xác của thông tin: Đe dọa thay đổi nội dung thông tin

 Khả năng cung cấp dịch vụ của hệ thống: Làm cho hệ thống không thể cung cấp được dịch vụ (tính sẵn sàng)

 Khả năng thống kê tài nguyên hệ thống

- Đối tượng đe dọa tấn công: Là chủ thể gây hại đến hệ thống

 Khả năng đe dọa tấn công của đối tượng: Khả năng truy cập để khai thác các lỗ hổng hệ thống tạo ra mối đe dọa trực tiếp

 Sự hiểu biết của đối tượng về mục tiêu đe dọa tấn công: user ID, file mật khẩu, vị trí file, địa chỉ mạng,…

 Động cơ tấn công của đối tượng: Chinh phục, lợi ích cá nhân, cố

tình

- Hành vi đe dọa tấn công:

 Lợi dụng quyền truy nhập thông tin hệ thống.

 Cố tình hoặc vô tình thay đổi thông tin hệ thống

 Truy cập thông tin bất hợp pháp

 Cố tình hoặc vô tình phá hủy thông tin hoặc hệ thống

 Nghe lén thông tin

Hiện nay trên thế giới có nhiều cách phân lọai khác nhau về lỗ hổng của

hệ thống mạng Dưới đây là cách phân loại sau đây được sử dụng phổ biếntheo mức độ tác hại hệ thống

1.4.1 Các lỗ hổng loại C

Các lỗ hổng loại này cho phép thực hiện các phương thức tấn công theoDoS (Denial of Services – Từ chối dịch vụ) Mức độ nguy hiểm thấp, chỉ ảnhhưởng tới chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống, khônglàm phá hỏng dữ liệu hoặc đạt được quyền truy nhập bất hợp pháp

1.4.2 Các lỗ hổng loại B

Các lỗ hổng cho phép người sử dụng có thêm các quyền trên hệthống mà không cần thực hiện kiểm tra tính hợp lệ Đối với dạng lỗ hổng này,mức độ nguy hiểm ở mức độ trung bình Những lỗ hổng này thường có trongcác ứng dụng trên hệ thống, có thể dẫn đến mất hoặc lộ thông tin yêu cầu bảomật

Các lỗ hổng loại B có mức độ nguy hiểm hơn lỗ hổng loại C, cho phépngười sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập khônghợp pháp Người sử dụng cục bộ được hiểu là người đã có quyền truy nhập vào

hệ thống với một số quyền hạn nhất định

1.4.3 Các lỗ hổng loại A

Các lỗ hổng này cho phép người sử dụng ở ngoài có thể truy nhậpvào hệ thống bất hợp pháp Lỗ hổng này rất nguy hiểm, có thể làm phá hủytoàn bộ hệ thống Các lỗ hổng loại A có mức độ rất nguy hiểm, đe dọa tínhtoàn vẹn và bảo mật của hệ thống Các lỗ hổng loại này thường xuất hiện ởnhững hệ thống quản trị yếu kém hoặc không kiểm soát được cấu hình mạng.Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trênphần mềm sử dụng; người quản trị nếu không hiểu sâu về dịch vụ và phầnmềm sử dụng sẽ có thể bỏ qua những điểm yếu này

1.5 Các nguy cơ mất an toàn thông tin

Cùng với sự phổ cập Internet ngày càng rộng rãi, vấn đề bảo đảm antoàn, an ninh thông tin trên môi trường mạng cũng ngày càng trở nên cấpthiết Các nguy cơ mất an toàn thông tin đang gia tăng cả về số lượng và mức

độ nghiêm trọng Trước các hiểm họa tinh vi và gánh nặng tuân thủ các quyđịnh bảo mật mới, các phương thức và hệ thống bảo mật truyền thống đãkhông còn hiệu quả để đảm bảo an toàn thông tin và dữ liệu cho các tổ chức,cần có những công cụ và kỹ thuật tiên tiến hơn để bảo vệ lợi ích của tổ chức,đảm bảo an toàn, duy trì kiểm soát các ứng dụng và dữ liệu

1.5.1 Kiểu tấn công thăm dò.

Thăm dò là việc thu thập dữ liệu trái phép về tài nguyên, các lỗ hổnghoặc dịch vụ của hệ thống Các cách tấn công truy cập hay DoS thườngđược tiến hành bởi kiểu tấn công thăm dò Hiển nhiên, các hacker phải biết cóthể tấn công cái gì trước khi xâm nhập Thăm dò giống như một kẻ trộm nhàbăng muốn biết có bao nhiêu bảo vệ đang làm nhiệm vụ, bao nhiêu camera, vịtrí của chúng và đường thoát hiểm Thăm dò là một kiểu tấn công, nó cũng làmột giai đoạn tấn công

1.5.2 Kiểu tấn công truy cập

Truy cập là một thuật ngữ rộng miêu tả bất kỳ kiểu tấn công nào đòi hỏingười xâm nhập lấy được quyền truy cập trái phép của một hệ thống bảo mậtvới mục đích thao túng dữ liệu, nâng cao đặc quyền, hay đơn giản chỉ là truycập vào hệ thống:

+ Tấn công truy cập hệ thống: Hacker thường tìm kiếm quyền truy

cập đến một thiết bị bằng cách chạy một đoạn mã hay bằng những công cụ hack (hacking

tool) hay là khai thác một yếu điểm của ứng dụng hoặc một dịch vụ đang chạytrên

máy chủ

+ Tấn công truy cập thao túng dữ liệu: Thao túng dữ liệu xuất hiện

khi kẻ xâm nhập đọc, viết, xóa, sao chép hay thay đổi dữ liệu Nó có thể đơngiản như việc tìm phần mềm chia sẻ trên máy tính, hay khó hơn như việc cốgắng xâm nhập một hệ thống tín dụng của cục thông tin

+ Tấn công truy cập nâng cao đặc quyền: Nâng cao đặc quyền là

một dạng tấn công phổ biến Bằng cách nâng cao đặc quyền, kẻ xâm nhập cóthể truy cập vào các files hay folder dữ liệu mà tài khoản người sử dụng banđầu không được cho phép truy cập Mục đích chung của hacker là chiếm đượcquyền truy cập ở mức độ quản trị Khi đã đạt được mục đích đó, họ có toànquyền điều khiển hệ thống mạng

1.5.3 Kiểu tấn công từ chối dịch vụ

Kiểu tấn công DdoS được thực hiện nhằm làm vô hiệu hóa, làm hư hỏng,hay gây tổn hại đến tài nguyên mạng với mục đích cản trở việc sử dụng những

hệ thống này của người dùng Tấn công DdoS gồm các giai đoạn sau:

+ Giai đoạn đầu tiên – Mục tiêu: Là giai đoạn định nghĩa đối tượng.

Điều đầu tiên cần làm rõ trong mọi hoạt động cũng như việc hacking là xácđịnh được mục tiêu Kết quả của việc xác lập mục tiêu của kiểu tấn công dẫnđến việc hình thành, chọn lựa những công cụ và phương pháp phù hợp Nếu kẻxâm nhập có động cơ trả thù thì kiểu tấn công DdoS phù hợp với nhu cầu đó.Nếu kẻ tấn công là một đối thủ thì, xâm nhập hệ thống và thao túng dữ liệumới là mục tiêu Khi kẻ xâm nhập tiến hành những bước của một kiểu tấncông, thì mục tiêu có thể và thường thay đổi

+ Giai đoạn hai thăm dò: Giai đoạn thăm dò, như chính tựa đề của nó,

là giai đoạn mà hacker sử dụng nhiều nguồn tài nguyên để thu thập thông tin

về hệ thống đối tượng

+ Giai đoạn thứ ba tấn công: Giai đoạn cuối cùng là giai đoạn tấn

công Trong giai đoạn tấn công kẻ xâm nhập bắt đầu cố gắng xâm nhậpmạng và tài nguyên hệ thống trên mạng Bằng cách sử dụng các thông tin đãthu thập được, một vài hacker có thể thực hiện việc tấn công nhiều lần chođến khi phát hiện được lỗi bảo mật để có thể khai thác

1.6 Giải pháp an ninh mạng

1.6.1 Giơi thiêu chung vê quan ly hê thông mang

Một loạt các thiết bị điển hình cần được quản ly gồm : Máy tính cá nhân,máy trạm, server, máy vi tính cỡ nhỏ, máy vi tính cỡ lớn, các thiết bị đầu cuối,modem, các gateway, router và switch, tất cả mới chỉ là một phần của danhsách các thiết bị sẽ phải được quản ly

1.6.2 Hai phương thức giám sát Poll và Alert

Hai phương thức giám sát “Poll” và “Alert”, đây là 2 phương thức cơ bảncủa các kỹ thuật giám sát hệ thống, nhiều phần mềm và giao thức được xâydựng dựa trên 2 phương thức này, trong đó có SNMP

1.6.2.1 Phương thưc Poll

Nguyên tắc hoạt động: Máy chủ giám sát sẽ thường xuyên hỏi thông tin

của thiết bị cần giám sát Nếu máy giám sát không hỏi thì thiết bị không trảlời, nếu máy giám sát hỏi thì thiết bị phải trả lời Bằng cách hỏi thường xuyên,máy giám sát sẽ

luôn cập nhật được thông tin mới nhất từ thiết bị

Máy chủ giám sát Thiết bị

(Device)

Yêu cầu

#1

Phản hồi #1Yêu cầu #2

Phản hồi #2Hình 1.1 Minh họa cơ chế Poll

1.6.2.2 Phương thức Alert

Nguyên tắc hoạt động: Mỗi khi trong thiết bị xảy ra một sự kiện (event)

nào đó thì thiết bị sẽ tự động gửi thông báo cho máy giám sát, gọi là Alert.Máy giám sát không hỏi thông tin định kỳ từ thiết bị

Thiết bị chỉ gửi những thông báo mang tính sự kiện chứ không gửinhững thông tin thường xuyên thay đổi, nó cũng sẽ không gửi Alert nếu chẳng

có sự kiện gì xảy ra Chẳng hạn khi một port down/up thì thiết bị sẽ gửi cảnhbáo, còn tổng số byte truyền qua port đó sẽ không được thiết bị gửi đi vì

đó là thông tin thường

xuyên thay đổi Muốn lấy những thông tin thường xuyên thay đổi thì máy giámsát

phải chủ động đi hỏi thiết bị, tức là phải thực hiện phương thức Poll

Máy chủ giám sát Thiết bị (Device)

Thông báo

#1Thông báo

Sự kiện #3

Hình 1.2 Minh họa cơ chế Alert

1.6.2.3 So sánh phương thức Poll và Alert

Hai phương thức Poll và Alert là hoàn toàn khác nhau về cơ chế Mộtứng dụng giám sát có thể sử dụng Poll hoặc Alert, hoặc cả hai, tùy vào yêucầu cụ thể trong thực tế

Bảng sau so sánh những điểm khác biệt của 2 phương thức :

Có thể chủ động lấy những thông

tin

cần thiết từ các đối tượng mình

quan tâm, không cần lấy những thông

tin không cần thiết từ những nguồn

không quan tâm

Tất cả những event xảy ra đều được

gửi về Manager, Manager phải có cơchế lọc những even cần thiết, hoặcDevice phải thiết lập được cơ chếchỉ gửi những event cần thiết lập

Có thể lập bảng trạng thái tất cả

các

thông tin của Device sau khi poll

qua một lượt các thông tin đó Ví dụ

Device có một port down và

Manager được khởi động sau đó, thì

Manager sẽ biết được port đang

down sau khi poll qua một lượt tất cả

Trong trường hợp đường truyền

giữaManager và Device xảy ra gián đoạn

và

Khi đường truyền gián đoạn

vàDevice có sự thay đổi thì nó vẫngửi alert cho Manager, nhưng alert

không thể cập nhật Tuy nhiên

khi

đường truyền thông suốt trở lại thì

Manager sẽ cập nhật được thông tin

mới nhất do nó luôn luôn poll định kỳ

không thể đến được Manager Sauđó

mặc dù đường truyền có thông suốttrở lại thì Manager vẫn không thểbiết được những gì đã xảy ra

Nếu tần suất poll thấp, thời gian

chờ

giữa hai chu kỳ poll dài sẽ làm

Manager chậm cập nhật các thay đổi

của Device Nghĩa là nếu thông tin

Device đã thay đổi nhưng vẫn chưa

đến lượt poll kế tiếp thì Manager vẫn

giữ thông tin cũ

Ngay khi có sự kiện xảy ra thì Device

sẽ gửi alert đến Manager, do đóManager luôn luôn có thông tin mớinhất tức thời

Có thể bỏ sót các sự kiện: Khi

Device

có thay đổi, sau đó thay đổi trở lại

như ban đầu trước khi đến poll kế

tiếp thì Manager sẽ không phát hiện

Manager sẽ được thông báo mỗi khi

có sự kiện xảy ra ở Device, do đóManager không bỏ sót bất kỳ sự kiệnnào

Nếu chu kỳ Poll ngắn sẽ gây tốn

Một thiết bị hiểu được và hoạt động tuân theo giao thức SNMP được gọi là

“có hỗ trợ SNMP” (SNMP supported) hoặc “tương thích SNMP” (SNMPcompartible) SNMP dùng để quản lý, nghĩa là có thể theo dõi, có thể lấythông tin, có thể được thông báo, và có thể tác động để hệ thống hoạt độngnhư ý muốn

Ví dụ một số khả năng của giao thức SNMP:

 Theo dõi tốc độ đường truyền của một router, biết được tổng số byte

đã truyền/nhận

 Lấy thông tin máy chủ đang có bao nhiêu ổ cứng, mỗi ổ cứng còn trống bao nhiêu

 Tự động nhận cảnh báo khi switch có một port bị down

 Điều khiển tắt (shutdown) các port trên switch

SNMP dùng để quản lý mạng, nghĩa là nó được thiết kế để chạy trênnền TCP/IP và quản lý các thiết bị có nối mạng TCP/IP Các thiết bị mạngkhông nhất thiết phải là máy tính mà có thể là switch, router, firewall, adslgateway, và cả một số phần mềm cho phép quản trị bằng SNMP

1.6.3.2 Ưu điêm cua thiêt kê SNMP

SNMP được thiết kế để đơn giản hóa quá trình quản lý các thành phầntrong mạng Nhờ đó các phần mềm SNMP có thể được phát triển nhanh và tốn

ít chi phí

SNMP được thiết kế để có thể mở rộng các chức năng quản lý, giámsát Không có giới hạn rằng SNMP có thể quản lý được cái gì Khi có một thiết

bị mới với các thuộc tính, tính năng mới thì người ta có thể thiết kế

“custom” SNMP để phục vụ cho riêng mình

SNMP được thiết kế để có thể hoạt động độc lập với các kiến trúc và cơchế của các thiết bị hỗ trợ SNMP Các thiết bị khác nhau có hoạt động khácnhau nhưng đáp ứng SNMP là giống nhau

1.6.3.3 Các phiên bản của SNMP

SNMP có 4 phiên bản: SNMPv1, SNMPv2c, SNMPv2u và SNMPv3 Cácphiên bản này khác nhau một chút ở định dạng bản tin và phương thức hoạtđộng Hiện tại SNMPv1 là phổ biến nhất do có nhiều thiết bị tương thích nhất

và có nhiều phần mềm hỗ trợ nhất Trong khi đó chỉ có một số thiết bị và

phần mềm hỗ trợ SNMPv3.

1.6.4 Kiến trúc giao thức SNMP

1.6.4.1 Các thành phần chính của SNMP

Theo RFC1157, kiến trúc của SNMP bao gồm 2 thành phần: Các trạm

Phần

tử

quản lýmạng Phần

mạngPhần tử mạng là các thiết bị, máy tính, hoặc phần mềm tương thíchSNMP và được quản lý bởi trạm quản lý mạng Như vậy phần tử mạng baogồm thiết bị, máy trạm và ứng dụng

Một trạm quản lý có thể quản lý nhiều phần tử mạng, một phần tử mạngcũng có thể được quản lý bởi nhiều trạm Vậy nếu một phần tử được quản lýbởi 2 trạm thì điều gì sẽ xảy ra? Nếu trạm lấy thông tin từ phần tử mạng thì

cả 2 trạm sẽ có thông tin giống nhau Nếu 2 t r ạ m tác động đến cùngmột phần tử thì phần tử sẽ đáp ứng cả 2 tác động theo thứ tự cái nào đếntrước

Ngoài ra còn có khái niệm SNMP agent SNMP agent là một tiến

trình (process) chạy trên phần tử mạng, có nhiệm vụ cung cấp thông tincủa phần tử cho trạm, nhờ đó trạm có thể quản lý được phần tử Chính xáchơn là ứng dụng chạy trên trạm và agent chạy trên phần tử mới là 2 tiếntrình SNMP trực tiếp liên hệ với nhau [1]

1.6.4.2 ObjectID

Một thiết bị hỗ trợ SNMP có thể cung cấp nhiều thông tin khác nhau,

mỗi thông tin đó gọi là một object Ví dụ:

 Máy tính có thể cung cấp các thông tin: Tổng số ổ cứng, tổng số port nối

mạng, tổng số byte đã truyền/nhận, tên máy tính, tên các process đang

chạy

 Router có thể cung cấp các thông tin: Tổng số card, tổng số port,tổng số byte đã truyền/nhận, tên router, tình trạng các port của router,

… Mỗi object có một tên gọi và một mã số để nhận dạng object đó, mã

số gọi là Object ID (OID) Ví dụ :

 Tên thiết bị được gọi là sysName, OID là 1.3.6.1.2.1.1.5

 Tổng số port giao tiếp (interface) được gọi là ifNumber, OID là

Tên thiết bị được gọi là sysName, OID là 1.3.6.1.2.1.1.5; nếu thiết bị có 2tên thì chúng sẽ được gọi là sysName.0 & sysName.1 và có OID lần lượt là

1.3.6.1.2.1.1.5.0 &

1.3.6.1.2.1.1.5.1

Địa chỉ Mac address được gọi là ifPhysAddress, OID là

1.3.6.1.2.1.2.2.1.6; nếu thiết bị có 2 Mac address thì chúng sẽ được gọi

là ifPhysAddress.0 & ifPhysAddress.1 và có OID lần lượt là

1.3.6.1.2.1.2.2.1.6.0 & 1.3.6.1.2.1.2.2.1.6.1 Tổng số port được gọi là

ifNumber, giá trị này chỉ có 1 nên OID của nó không có phân cấp con và vẫn

là 1.3.6.1.2.1.2.1

Ở hầu hết các thiết bị, các object có thể có nhiều giá trị thì thường đượcviết

dưới dạng có sub-id Ví dụ: Một thiết bị dù chỉ có 1 tên thì nó vẫn phải có OID

là sysName.0 hay 1.3.6.1.2.1.1.5.0 Cần nhớ quy tắc này để ứng dụng tronglập trình phần mềm SNMP manager

Sub-id không nhất thiết phải liên tục hay bắt đầu từ 0 VD một thiết bị

có 2 mac address thì có thể chúng được gọi là ifPhysAddress.23 và

ifPhysAddress.125645.

OID của các object phổ biến có thể được chuẩn hóa, OID của cácobject do bạn tạo ra thì bạn phải tự mô tả chúng Để lấy một thông tin cóOID đã chuẩn hóa thì SNMP application phải gửi một bản tin SNMP có chứaOID của object đó cho SNMP agent, SNMP agent khi nhận được thì nó phảitrả lời bằng thông tin ứng với OID đó.

VD: Muốn lấy tên của một PC chạy Windows, tên của một PC chạy Linuxhoặc tên của một router thì SNMP application chỉ cần gửi bản tin cóchứa OID là

1.3.6.1.2.1.1.5.0 Khi SNMP agent chạy trên PC Windows, PC Linux hayrouter nhận được bản tin có chứa OID 1.3.6.1.2.1.1.5.0, agent lập tức hiểurằng đây là bản tin hỏi sysName.0, và agent sẽ trả lời bằng tên của hệthống Nếu SNMP agent nhận được một OID mà nó không hiểu (không hỗtrợ) thì nó sẽ không trả lời

Hình 1.4 Minh họa quá trình lấy sysName.0

[1]

Một trong các ưu điểm của SNMP là có được thiết kế để chạy độc lập vớicác thiết bị khác nhau Chính nhờ việc chuẩn hóa OID mà ta có thể dùng mộtSNMP application để lấy thông tin các loại device của các hãng khác nhau.[1]

1.6.4.3 Object access

Mỗi object có quyền truy cập là READ_ONLY hoặc READ_WRITE Mọiobject đều có thể đọc được nhưng chỉ những object có quyền READ_WRITEmới có thể thay đổi được giá trị VD: Tên của một thiết bị(sysName) là READ_WRITE, ta có thể thay đổi tên của thiết bị thông qua giaothức SNMP Tổng số port của thiết bị (ifNumber) là READ_ONLY, dĩ nhiên takhông thể thay đổi số port của nó

h t t p: // www l r c - t nu e d u v n /

Số hóa bởi Trung tâm Học liệu -

ĐHTN

1.6.4.4 Cơ sở thông tin quản trị MIB

MIB là một cấu trúc dữ liệu gồm các đối tượng được quản trị, được dùngcho việc quản lý các thiết bị chạy trên nền TCP/IP MIB là kiến trúc chung màcác giao thức quản lý trên TCP/IP nên tuân theo, trong đó có SNMP, MIBđược thể hiện thành một tệp tin (MIB file), và có thể biểu diễn thành 1 cây(MIB tree) MIB có thể được chuẩn hóa hoặc tự tạo

Hình 1.5 Minh họa MIB tree

[1]

Một node trong cây là một object, có thể được gọi bằng tên hoặc id

Các objectID trong MIB được sắp xếp thứ tự nhưng không phải là liêntục, khi biết một OID thì không chắc chắn có thể xác định được OID tiếptheo trong MIB VD trong chuẩn mib-2 thì object ifSpecific và objectatIfIndex nằm kề nhau nhưng OID lần lượt là 1.3.6.1.2.1.2.2.1.22 và1.3.6.1.2.1.3.1.1.1

Muốn hiểu được một OID nào đó thì bạn cần có file MIB mô tả OID

đó Một MIB file không nhất thiết phải chứa toàn bộ cây ở trên mà có thể chỉchứa mô tả cho một nhánh con Bất cứ nhánh con nào và tất cả lá của nóđều có thể gọi là một MIB

Một manager có thể quản lý được một device chỉ khi ứng dụng SNMP

manager và ứng dụng SNMP agent cùng hỗ trợ một MIB Các ứng dụng này

cũng

Manager gửi GetNextRequest có chứa mộtObjectID cho agent để yêu cầu cung cấp thôngtin nằm kế tiếp ObjectID đó trong MIB

SetRequest Manager gửi SetRequest cho agent để đặt giátrị

cho đối tượng của agent dựa vào ObjectID

GetResponse Agent gửi GetResponse cho Manager để trả

lời khi nhận được GetRequest/GetNextRequest

Trap Agent tự động gửi Trap cho Manager khi có

một sự kiện xảy ra đối với một object nào đó trong agent

Bảng 1.2 Các phương thức hoạt động của SNMPMỗi bản tin đều có chứa OID để cho biết object mang trong nó là gì.OID trong GetRequest cho biết nó muốn lấy thông tin của object nào.OID trong GetResponse cho biết nó mang giá trị của object nào OID trongSetRequest chỉ ra nó muốn thiết lập giá trị cho object nào OID trong Trap chỉ

ra nó thông báo sự kiện xảy ra đối với object nào.[2]

1.6.5.1 GetRequest

Bản tin GetRequest được manager gửi đến agent để lấy một thông tinnào đó Trong GetRequest có chứa OID của object muốn lấy VD: Muốn lấythông tin tên của Device1 thì manager gửi bản tin GetRequestOID=1.3.6.1.2.1.1.5 đến Device1, tiến trình SNMP agent trên Device1 sẽnhận được bản tin và tạo bản tin trả lời Trong một bản tin GetRequest cóthể chứa nhiều OID, nghĩa là dùng một GetRequest có thể lấy về cùng lúcnhiều thông tin [2]

 Có thể shutdown một port trên switch bằng phần mềm SNMPmanager, bằng cách gửi bản tin có OID là 1.3.6.1.2.1.2.2.1.7(ifAdminStatus) và có giá trị là 2 (ifAdminStatus có thể mang ba giátrị là UP (1), DOWN (2), và TESTING (3)) Chỉ những object có quyềnREAD_WRITE mới có thể thay đổi được giá trị [2]

1.6.5.3 GetResponse

Mỗi khi SNMP agent nhận được các bản tin GetRequest, GetNextRequesthay SetRequest thì nó sẽ gửi lại bản tin GetResponse để trả lời Trong bảntin GetResponse có chứa OID của object được request và giá trị của object đó.[2]

1.6.5.4 Trap

Bản tin Trap được agent tự động gửi cho manager mỗi khi có sự kiện xảy

ra bên trong agent, các sự kiện này không phải là các hoạt động thườngxuyên của agent mà là các sự kiện mang tính biến cố Ví dụ: Khi có mộtport down, khi có một người dùng login không thành công, hoặc khi thiết bịkhởi động lại, agent sẽ gửi trap cho manager

Phương thức trap là độc lập với các phương thức request/response.SNMP request/response dùng để quản lý còn SNMP trap dùng để cảnh

báo Nguồn gửi trap gọi là Trap Sender và nơi nhận trap gọi là Trap Receiver Một trap sender có thể được cấu hình để gửi trap đến nhiều trap

receiver cùng lúc

Theo SNMPv1, generic trap có 7 loại sau: coldStart(0),

warmStart(1), linkDown(2), linkUp(3), authenticationFailure(4),

egpNeighborloss(5), enterpriseSpecific(6)

Người dùng có thể tự định nghĩa thêm các loại trap để làm phong phúthêm khả năng cảnh báo của thiết bị như: boardFailed, configChanged,powerLoss, cpuTooHigh, …

h t t p: // www l r c - t nu e d u v n /

Số hóa bởi Trung tâm Học liệu -

ĐHTN

Người dùng tự quy định ý nghĩa và giá trị của các specific trap này,

và dĩ nhiên chỉ những trap receiver và trap sender hỗ trợ cùng một MIB mới

có thể hiểu ý nghĩa của specific trap Do đó nếu bạn dùng một phần mềm trapreceiver bất kỳ để nhận trap của các trap sender bất kỳ, bạn có thể đọc vàhiểu các generic trap khi chúng xảy ra; nhưng bạn sẽ không hiểu ý nghĩa cácspecific trap khi chúng hiện lên màn hình vì bản tin trap chỉ chứa những consố

Hình 1.6 Minh họa các phương thức của

SNMPv1Đối với các phương thức Get/Set/Response thì SNMP Agent lắng nghe ở port

UDP 161, còn phương thức trap thì SNMP Trap Receiver lắng nghe ở port UDP

1.6.6.2 View

Khi manager có read-community thì nó có thể đọc toàn bộ OID của agent.Tuy nhiên agent có thể quy định chỉ cho phép đọc một số OID có liên quannhau, tức là chỉ đọc được một phần của MIB Tập con của MIB này gọi làview Trên agent có thể định nghĩa nhiều view Một view phải gắn liền vớimột community string Tùy vào community string nhận được là gì mà agent xử

lý trên view tương ứng

1.6.6.3 SNMP access control list

SNMP ACL là một danh sách các địa chỉ IP được phép quản lý/giám sátagent, nó chỉ áp dụng riêng cho giao thức SNMP và được cài trên agent Nếu

h t t p: // www l r c - t nu e d u v n /

Số hóa bởi Trung tâm Học liệu -

ĐHTN

một manager

Mục đích: Quản lý, giám sát tập trung toàn mạng từ xa giúp mạng có

thể tự hoạt động và các thiết bị riêng lẻ có thể hoạt động đồng bộ trong mạngkhông chỉ dùng cho việc giám sát lưu lượng trong LAN mà còn cho cả cácgiao diện WAN RMON bổ sung MIB-RMON cho MIB-II và cung cấp thông tinquan trọng

 Phần Data trong bản tin SNMP gọi là PDU (Protocol Data Unit)

SNMPv1 có 5 phương thức hoạt động tương ứng 5 loại PDU Tuy nhiên chỉ có

2 loại định dạng bản tin là PDU và Trap-PDU, trong đó các bản tin Get,GetNext, Set, GetResponse có cùng định dạng là PDU, còn bản tin Trap cóđịnh dạng là Trap- PDU [1]

1.6.8 Hệ thống phát hiện và ngăn chặn xâm nhập mạng

(IDS/IPS)

1.6.8.1 Giới thiệu về IDS/IPS

* IDS: Hệ thống phát hiện xâm nhập là hệ thống có nhiệm vụ theo dõi,

phát hiện và (có thể) ngăn cản sự xâm nhập, cũng như các hành vi khai tháctrái phép tài nguyên của hệ thống được bảo vệ mà có thể dẫn đến việc làm tổnhại đến tính bảo mật, tính toàn vẹn và tính sẵn sàng của hệ thống

Hệ thống IDS sẽ thu thập thông tin từ rất nhiều nguồn trong hệ thốngđược bảo vệ sau đó tiến hành phân tích những thông tin đó theo các cách khácnhau để phát hiện những xâm nhập trái phép

Hình sau minh hoạ các vị trí thường cài đặt IDS trong mạng :

h t t p: // www l r c - t nu e d u v n /

Số hóa bởi Trung tâm Học liệu -

ĐHTN

Hình 1.8 Các vị trí đặt IDS trong mạng [4]

* IPS: Hệ thống chống xâm nhập được định nghĩa là một phần mềm hoặc

một thiết bị chuyên dụng có khả năng phát hiện và ngăn chặn các nguy cơ gâymất an ninh IDS và IPS có rất nhiều điểm chung, do đó hệ thống IDS và IPS

có thể được gọi chung là IDP- Intrusion Detection and Prevention

1.6.8.2 Các thành phần và chức năng của IDS/IPS

- Thành phần phát hiện gói tin: Ở thành phần này, các bộ cảm biếnđóng vai trò quyết định Vai trò của bộ cảm biến là dùng để lọc thông tin vàloại bỏ những thông tin dữ liệu không tương thích đạt được từ các sự kiện liênquan tới hệ thống bảo vệ vì vậy có thể phát hiện được các hành động nghi ngờ

- Thành phần phản hồi: Khi có dấu hiệu của sự tấn công hoặc thâmnhập, thành phần phát hiện tấn công sẽ gửi tín hiệu báo hiệu có sự tấncông hoặc thâm nhập đến thành phần phản ứng Lúc đó thành phần phản ứng

sẽ kích hoạt tường lửa thực hiện chức năng ngăn chặn cuộc tấn công hay cảnhbáo tới người quản trị Dưới đây là một số kỹ thuật ngăn chặn:

- Bảo vệ: Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị

mà có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại

• Phát hiện được các cuộc tấn công mà HIDS bỏ qua.

• Khó xoá bỏ dấu vết (evidence): NIDS sử dụng lưu thông hiện hànhtrên mạng để phát hiện xâm nhập Vì thế, kẻ đột nhập không thể xoá bỏđược các dấu vết tấn công

• Phát hiện và đối phó kịp thời

• Có tính độc lập cao

* Nhược điểm:

• Bị hạn chế với Switch: Nhiều lợi điểm của NIDS không phát huy đượctrong các mạng chuyển mạch hiện đại Thiết bị switch chia mạng thànhnhiều phần độc lập vì thế NIDS khó thu thập được thông tin trongtoàn mạng Do chỉ kiểm tra mạng trên đoạn mà nó trực tiếp kết nối tới,

nó không thể phát hiện một cuộc tấn công xảy ra trên các đoạn mạngkhác Vấn đề này dẫn tới yêu cầu tổ chức cần phải mua một lượng lớncác bộ cảm biến để có thể bao phủ hết toàn mạng gây tốn kém về chiphí cài đặt

• Hạn chế về hiệu năng: NIDS sẽ gặp khó khăn khi phải xử lý tất cả cácgói tin trên mạng rộng hoặc có mật độ lưu thông cao, dẫn đến khôngthể phát hiện các cuộc tấn công thực hiện vào lúc "cao điểm" Một sốnhà sản xuất đã khắc phục bằng cách cứng hoá hoàn toàn IDS nhằmtăng cường tốc độ cho nó

• Một số hệ thống NIDS cũng gặp khó khăn khi phát hiện các cuộc tấncông mạng từ các gói tin phân mảnh Các gói tin định dạng sai này cóthể làm cho NIDS hoạt động sai và đổ vỡ.

* Host based IDS

điểm:

• Xác định được kết quả của cuộc tấn công: Do HIDS sử dụng dữ liệu loglưu các sự kiện xảy ra, nó có thể biết được cuộc tấn công là thành cônghay thất bại với độ chính xác cao hơn NIDS Vì thế, HIDS có thể bổsung thông tin tiếp theo khi cuộc tấn công được sớm phát hiện với NIDS

• Giám sát được các hoạt động cụ thể của hệ thống: HIDS có thể giámsát các hoạt động mà NIDS không thể như: truy nhập file, thay đổiquyền, các hành động thực thi, truy nhập dịch vụ được phân quyền Đồngthời nó cũng giám sát các hoạt động chỉ được thực hiện bởi người quản trị

• Phát hiện các xâm nhập mà NIDS bỏ