Phần 1- Tổng quan giám sát mạng: Giám sát mạng việc sử dụng hệ thống để liên tục theo dõi mạng máy tính, xem xét coi có thành phần hoạt động chậm lại khơng hoạt động thông báo cho quản trị viên mạng (qua email, tin nhắn SMS báo động khác) trường hợp mạng khơng hoạt động có rắc rối khác Giám sát mạng phần quản lý mạng Trong hệ thống phát xâm nhập giám sát mạng máy tính mối đe dọa từ bên ngoài, hệ thống giám sát mạng giám sát mạng vấn đề gây máy chủ tải bị hư hỏng, kết nối mạng thiết bị khác Ví dụ, để xác định trạng thái máy chủ web, phần mềm giám sát định kỳ gửi yêu cầu HTTP để nạp trang mạng Đối với máy chủ email, thơng điệp kiểm tra gửi qua SMTP truy xuất IMAP POP3 Thông thường thông số đo lường thời gian đáp ứng, tính khả dụng thời gian hoạt động số thống độ tin cậy bắt đầu phổ biến Việc bổ sung rộng rãi thiết bị tối ưu hóa WAN có ảnh hưởng bất lợi đến hầu hết công cụ giám sát mạng, đặc biệt để đo xác độ trễ end-to-end b ởi chúng hạn chế khả hiển thị thời gian trễ round-trip Trạng thái request lỗi: kết nối thiết lập, times-out (tốn thời gian dài thời gian Server phản hồi), tài li ệu tin nhắn không th ể lấy được, thường sinh hành động từ hệ thống giám sát Những hành động khác Một báo động gửi (qua SMS, email, vv) tới sysadmin, h ệ thống chuyển đổi dự phòng tự động kích hoạt để loại bỏ máy chủ gặp vấn đề hoàn thành nhiệm vụ sửa chữa, vv Giám sát hi ệu xuất đường lên mạng (uplink) gọi đo lưu lượng mạng Các yếu tố cốt lõi giám sát mạng Nhằm mang lại hiệu cao cho việc giám sát mạng, cần nắm vững yếu tố cốt lõi đặc thù công việc Cụ thể bao gồm: – Nắm vững công cụ, thiết bị, phần mềm phục vụ cho công việc giám sát, bao gồm phần mềm nội phần mềm mở – Nắm vững phận, đơn vị, hệ thống, dịch vụ thiết bị phục vụ cho việc giám sát – Sử dụng cách công cụ, giải pháp hỗ trợ việc xử lý, phân tích kết giám sát Một số công cụ Snort, Wireshark, Nessus, Nmap… Các thành phần hệ thống mạng Vì hệ thống mạng toàn diện nên việc giám sát an toàn mạng quan trọng, yêu cầu phải nắm thành phần hệ thống như: – Server – máy chủ – Các thiết bị hạ tầng mạng như: Hub, Router, switch – Máy trạm, mơ hình máy trạm – Các thiết bị hệ thống phục vụ cho việc theo dõi hệ thống mạng – Phần mềm ứng dụng máy trạm, máy chủ 3 Lợi ích hệ thống giám sát an toàn mạng – Bản chất SIEM hay gọi Security information and event management t ạo với mục đích thu thập liệu, thông tin kiện an ninh Nó tính từ thiết bị đầu cuối lưu liệu tập trung nhờ vào kết phân tích cơng cụ hệ thống an tồn mạng, phát nguy trước công tin tặc – Lợi ích hệ thống giám sát an ninh mạng + giúp việc quản lý tập trung + SIEM phát cố công, thâm nhập mạng mà thi ết bị thơng thường khó lòng phát + Giúp việc xử lý cố đơn giản mà lại hiệu Thu thập liệu cho hệ thống NSM – Thu thập liệu, thông tin tình trạng lịch sử hoạt động thiết bị hệ thống mạng nội Chính hệ thống lại có thành phần khác nhau, tảng khác Do “Log” đưa trung tâm xử lý phân tích – Sau kết thúc q trình phân tích, xử lý, thông tin, tệp, li ệu thu thập giúp nhà quản trị đưa kế hoạch phòng tránh khắc phục khỏi nguy công Phần mềm giám sát mạng Nagios hệ thống giám sát mạnh mẽ, cho phép cơng ty nhận dạng giải vấn đề liên quan tới sở hạ tầng trước chúng ảnh hưởng tới công việc kinh doanh quan trọng Giao diện đồ họa - phần mềm nagios Những tính Nagios        Giám sát hệ thống mạnh mẽ: việc sử dụng Nagios core (4 nhân ) giúp giám sát hệ thống hiệu mở rộng Hiệu xuất cao: với việc trang bị Nagios core tăng khả giám sát Server giúp Server làm việc hiểu Minh họa đồ thị: kết hay thống kê hiển thị theo dạng đồ thị, giúp bạn có nhìn trưc quan Quản lý tài khoản: dễ dàng cài đặt,quản lý tài khoản người dùng Giao diện cập nhập mới: theo chuẩn giao diện web giúp cho người dùng dễ thao tác Cấu hình Wizards: cần vào thao tác bạn cấu hình xong Cấu hình snapshop cấu hình wizard Nigios Phần mềm Nagios cung cấp nhiều chế giúp bạn có nhìn tổng qt nhất, trực quan hệ thống mạng mình, giám sát toàn dịch vụ mạng ứng dụng, dịch vụ ,hệ điều hành, giao thức mạng, hệ thống số liệu chế hạ tầng mạng Ngồi có hàng trăm add-on từ bên thứ ba cung cấp thêm bạn cần tính khác Với việc tích hợp giao diện dựa giao diện web cho phép quản trị viên dễ dàng công việc, cung cấp nhiều API với hàng nghìn addons giúp cơng việc bạn đơn giản hóa nhiều.Trang bị cho hệ thống bạn phần mềm Nagios điều cần thiết tối ưu để giám sát hạ tầng mạng Ngồi Nagios có cơng cụ giám sát mạng Syslog-Ng, Logzilla (Php SyslogNg), HP ArcSight Logger, Splunk, dịch vụ giám sát hệ thống Loggly 6.Các giải pháp tăng cường cho hệ thống mạng Có giải pháp giúp hệ thống giám sát an toàn bao gồm: – Giải pháp quản lý phân tích kiện an ninh: kết hợp hai gi ải pháp nhằm khắc phục hạn chế vốn có – Giải pháp quản lý thông tin an ninh: tập trung vào việc thu thập, lưu trữ nhật ký – Giải pháp quản lý kiện an ninh: tập trung vào việc phân tích xử lý nhật ký thu thập để đưa cảnh báo cho người dùng Phần Nhu cầu giám sát mạng LỢI ÍCH CỦA MỘT HỆ THỐNG GIÁM SÁT AN TOÀN MẠNG – SIEM Hệ thống giám sát an toàn mạng viết tắt SIEM (Security information and event management – SIEM) hệ thống thiết kế nhằm thu thập thông tin nhật ký kiện an ninh từ thiết bị đầu cuối lưu trữ liệu cách tập trung Theo đó, sản phẩm SIEM cho phép phân tích tập trung báo cáo ki ện an tồn mạng tổ chức Kết phân tích dùng để phát raa công mà phát theo phương pháp thơng thường Một số sản phẩm SIEM có khả ngăn chặn cơng mà chúng phát Sản phẩm SIEM xuất nhiều năm nay, tiền thân sản phẩm nhắm đến tổ chức lớn với khả đội ngũ phân tích an ninh chuyên biệt SIEM dần trở nên bật, phù hợp với nhu cầu tổ chức vừa nhỏ Ki ến trúc SIEM ngày bao gồm phầm mềm SIEM cài đặt máy chủ cục bộ, phần cứng cục thiết bị ảo dành riêng cho SIEM, kèm theo dịch vụ đám mây SIEM Các tổ chức khác sử dụng hệ thống SIEM với mục đích khác nhau, l ợi ích thu khác Bài viết làm rõ ba lợi lớn SIEM:  Quản lý tập trung  Giám sát an toàn mạng  Cải thiện hiệu hoạt động xử lý cố Quản lý tập trung Rất nhiều tổ chức triển khai SIEM với mục đích nhất: tập hợp liệu thông qua giải pháp nhật ký tập trung Mỗi thiết bị đầu cuối cần có hệ thống ghi lại kiện an ninh thường xuyên truyền liệu nhật ký (log) máy chủ SIEM Một máy chủ SIEM nhận liệu nhật ký từ nhiều thiết bị khác sau thực thống kê, phân tích, báo cáo để tạo báo cáo cho thấy tương quan kiện an ninh thiết bị Một tổ chức khơng có hệ thống tập trung liệu nhật ký cần nhiều công sức việc tập hợp báo cáo Trong môi trường vậy, cần phải tạo báo cáo riêng tình trạng hoạt động cho thiết bị đầu cuối, lấy liệu định kì cách thủ công từ thiết bị tập hợp chúng lại phân tích để thành báo cáo Khó khăn xảy không nhỏ khác biệt hệ điều hành, ứng dụng phần mềm khác dẫn đến nhật ký kiện an ninh ghi lại khác Chuyển đổi tất thông tin thành định dang chung đòi hỏi việc phát triển tùy bi ến mã nguồn lớn Một lí khác cho thấy SIEM hữu ích việc quản lý báo cáo tập trung việc hỗ trợ sẵn mẫu báo cáo phù hợp với chuẩn quốc tế Health Insurance Portability and Accountability Act (HIPAA), Payment Card Industry Data Security Standard (PCI DSS) Sarbanes-Oxley Act (SOX) Nhờ SIEM, m ột t ổ chức có th ể tiết kiệm đáng kể thời gian, nguồn lực để đạt đủ yều cầu báo cáo an ninh định kỳ Giám sát an tồn mạng Lí cho việc triển khai SIEM hệ thống phát cố mà thiết bị thông thường không phát Thứ nhất, nhiều thiết bị đầu cuối có phần mềm ghi lại kiện an ninh khơng tích hợp khả phát hi ện cố Dù quan sát kiện tạo nhật ký, chúng thiếu khả phân tích để xác định dấu hiệu hành vi độc hại Lý thứ hai nâng cao khả phát SIEM chúng cho thấy tương quan kiện thiết bị Bằng cách thu thập kiện toàn tổ chức, SIEM thấy nhiều phần khác công thông qua nhiều thiết bị sau tái cấu trúc lại chuỗi kiện xác định cơng ban đầu thành cơng hay chưa Nói theo cách khác, gi ải pháp ngăn chặn xâm nhập IPS thấy phần công hệ điều hành máy chủ mục tiêu cho thấy phần khác cơng đó, SIEM kiểm tra liệu nhật ký tất kiện xác định máy chủ mục tiêu bị nhiễm mã độc, hay công thành công hay chưa, từ thực cách li chúng mạng riêng xử lí cơng Cần hiểu SIEM khơng thay sản phẩm kiểm sốt an ninh phát hi ện t ấn công hệ thống ngăn chặn xâm nhập IPS, công nghệ tường lửa phần mềm diệt virus Một SIEM độc lập tác dụng ngồi theo dõi kiện an ninh diễn SIEM thiết kế để sử dụng liệu nhật ký ghi lại phần mềm khác từ phân tích tương quan đưa cảnh báo Ngoài ra, nhiều sản phẩm SIEM có khả ngăn chặn công mà chúng phát cơng diễn SIEM khơng tự trực tiếp ngăn chặn công, thay vào kết nối vào hệ thống an ninh khác doanh nghi ệp tường lửa chuyển chúng đến phần cấu hình để ngăn chặn hành vi độc hại Điều cho phép SIEM ngăn chặn công không nhận biết thành phần an ninh khác doanh nghiệp Để có bước tiến xa hơn, tổ chức cần tìm kiếm thu thập IEM (các thông tin mối nguy hại, hình thức cơng…) từ nguồn bên đáng tin cậy Nếu SIEM phát hành vi độc hại biết liên quan đến thiết bị đầu cuối, phản ứng ngăn chặn kết nối làm gián đoạn, cách ly thiết bị tương tác với thiết bị khác nhằm ngăn ngừa công từ điểm Cải thiện hoạt động xử lý cố hiệu Một lợi ích khác sản phẩm SIEM gia tăng đáng kể hiệu việc xử lý cố, tiết kiệm đáng kể thời gian nguồn lực đối cho nhân viên xử lý cố SIEM cải thiện điều cách cung một giao diện đơn giản để xem xét tất liệu nhật ký an ninh từ nhiều thiết bị đầu cuối Ví dụ:  Cho phép nhân viên xử lý cố nhanh chóng phát mũi cơng vào doanh nghiệp  Cho phép xác định nhanh chóng tất thiết bị đầu cuối bị ảnh hưởng công  Cung cấp chế tự động nhằm ngăn chặn công diễn cách ly thiết bị đầu cuối bị xâm hại Lợi ích sản phẩm SIEM khiến chúng trở nên cần thiết bao gi hết, đặc biệt quan nhà nước, ngân hàng, doanh nghi ệp tài chính, t ập đồn cơng nghệ… Sản phẩm SIEM cho phép tổ chức có tranh toàn cảnh kiện an ninh xảy Bằng cách tập hợp liệu nhật ký an ninh từ trạm kiểm soát an ninh, hệ điều hành thiết bị đầu cuối, ứng dụng phần mềm khác, SIEM phân tích lượng lớn liệu nhằm xác định công xâm hại ẩn dấu đằng sau liệu Phần 3- Các thông tin cần giám sát Hệ thống giám sát an tồn mạng đóng vai trò quan trọng, khơng thể thiếu hạ tầng công nghệ thông tin (CNTT) quan, đơn vị, tổ chức Hệ thống cho phép thu thập, chuẩn hóa, lưu trữ phân tích tương quan tồn kiện an toàn mạng sinh hệ thống CNTT tổ chức Ngoài ra, hệ thống giám sát an toàn mạng phát kịp thời công mạng, điểm yếu, lỗ hổng bảo mật thiết bị, ứng dụng dịch vụ hệ thống Phát kịp thời bùng nổ virus hệ thống mạng, máy tính bị nhiễm mã độc, máy tính bị nghi ngờ thành viên mạng máy tính ma (botnet) Các yếu tố giám sát Để công tác giám sát an toàn mạng đạt hiệu cần phải xác định yếu tố cốt lõi, giám sát như: - Xác định đơn vị, hệ thống, thiết bị, dịch vụ cần giám sát - Xác định trang thiết bị, giải pháp phần mềm thương mại phục vụ giám sát - Xác định phần mềm nội phần mềm nguồn mở phục vụ giám sát - Xác định thiết bị, công cụ, giải pháp hỗ trợ phân tích kết giám sát: cơng c ụ NMAP, TCPDUMP, Wireshark, Nessus Ngoài trang thiết bị, cơng cụ, giải pháp hỗ trợ yếu tố người đặc biệt quy trình phục vụ giám sát vô quan trọng Các giải pháp cơng nghệ giám sát an tồn m ạng Hệ thống giám sát an tồn mạng xây dựng theo ba giải pháp sau: - Giải pháp quản lý thông tin an ninh: tập trung vào việc thu thập, l ưu trữ bi ểu diễn nhật ký - Giải pháp quản lý kiện an ninh: tập trung vào việc phân tích xử lý nhật ký thu thập để đưa cảnh báo cho người dùng - Giải pháp quản lý phân tích kiện an ninh: kết hợp hai gi ải pháp nhằm khắc phục hạn chế vốn có Vì vậy, tài liệu hướng tới xây dựng giải pháp Giải pháp quản lý phân tích kiện an ninh Mơ hình giải pháp quản lý phân tích kiện an ninh gồm 03 thành ph ần chính: a Thành phần thu thập nhật ký an toàn mạng, bao gồm giao diện thu thập nhật ký an toàn mạng trực tiếp từ thiết bị, dịch vụ, ứng dụng Thành phần có tính năng: - Thu thập toàn liệu nhật ký từ nguồn thiết bị, ứng dụng,… gồm thiết bị vật lý thiết bị ảo hóa - Kiểm sốt băng thông không gian lưu trữ thông qua khả chọn lọc liệu nhật ký - Phân tách kiện chuẩn hóa kiện vào lược đồ chung - Tích hợp kiện để giảm thiểu số lượng kiện gửi thành phần phân tích lưu trữ - Chuyển tồn kiện thu thập thành phần phân tích l ưu trữ b Thành phần phân tích lưu trữ: bao gồm thiết bị lưu trữ dung lượng lớn cung cấp khả tổng hợp, phân tích tự động Thành phần có tính năng: - Kết nối với thành phần thu thập nhật ký để tập hợp nhật ký tập trung ti ến hành phân tích, so sánh tương quan - Mơđun phân tích hỗ trợ luật (được định nghĩa trước) khả tuỳ biến, nhằm đưa kết phân tích xác - Các nhật ký an toàn mạng tiến hành phân tích, so sánh tương quan theo thời gian thực nhằm đưa cảnh báo tức thời cho người quản trị Đồng thời cho phép phân tích liệu khứ, nhằm cung cấp cho người quản trị tranh toàn cảnh an toàn mạng theo thời gian - Hỗ trợ kết nối đến hệ thống lưu trữ liệu (như SAN, NAS) giúp nâng cao khả lưu trữ xây dựng kế hoạch dự phòng, chống mát liệu c Thành phần quản trị tập trung: - Cung cấp giao diện quản trị tập trung cho toàn hệ thống giám sát an toàn mạng Các giao diện phân quyền theo vai trò người quản trị - Hỗ trợ sẵn hàng nghìn mẫu báo cáo, giao diện theo dõi, ều ki ện l ọc, Ngoài ra, cơng cụ cho phép tùy biến, thay đổi hay tạo báo cáo m ột cách d ễ dàng để phù hợp với hệ thống - Hỗ trợ cơng cụ cho việc xử lý kiện an toàn mạngxảy hệ thống d Các thành phần khác: thành phần cảnh báo, hệ thống DashBoard theo dõi thông tin, báo cáo phong phú đáp ứng tiêu chuẩn quản lý, thành phần lưu trữ có khả lưu trữ liệu lâu dài Phần - Các công cụ giám sát gì? Vào ngày đẹp trời máy tính, Server, hệ thống mạng bạn “im lặng ti ếng” có cách để biết trước việc ? Việc thực triển khai hệ thống giám sát toàn thiết bị mạng việc cấp thiết cho tất doanh nghiệp tổ chức Việc triển khai hệ thống giám sát nhằm tối ưu hóa hệ thống mạng, tăng cường an ninh mạng, giải cố kịp thời Để hiểu thông tin hệ thống, ta cần giải pháp giám sát để cung cấp thơng tin quan trọng thời gian thực đâu bất c ứ thời điểm Trên thị trường có nhiều phần mềm dùng để ứng dụng vào việc giám sát hệ thống mạng như: Nagios: công cụ giám sát mạng mạnh mẽ Nagios cung cấp tính cảnh báo, xử lý kiện báo cáo Nagios Core trung tâm ứng dụng có chứa cơng cụ giám sát cốt lõi giao diện web Chúng ta thực hi ện giám sát dịch vụ, ứng dụng, số liệu, lối vào lựa chọn addons cho trực quan liệu, đồ thị, phân phối tải, hỗ trợ sở liệu MySQL, gi ữa người khác Link Website hãng: https://www.nagios.org/ PRTG Network Monitor: công cụ giám sát mạng có sẵn sử dụng loạt giao thức bao gồm SNMP, Netflow WMI PRTG Network Monitor công cụ sử dụng giao diện dựa web ứng dụng cho iOS Android Tính PRTG Network Monitor bao gồm: · Giám sát mạng tồn diện cung cấp 170 loại cảm biến để theo dõi ứng dụng, theo dõi máy chủ ảo, giám sát SLA, giám sát QoS · Có phương pháp khác thơng báo, cảnh báo tình trạng, cảnh báo gi ới hạn, cảnh báo ngưỡng, cảnh báo có điều kiện điều độ cảnh báo · Có khả tạo báo cáo định dạng HTML / PDF, báo cáo theo lịch trình, báo cáo xác định trước báo cáo mẫu · Link website: https://www.paessler.com SolarWinds: phần mềm giám sát mạng mạnh mẽ giá phải giúp cho nhanh chóng phát hiện, chẩn đoán, giải vấn đề hiệu suất mạng, cung cấp số liệu hiệu suất chi tiết để phát vấn đề giải nhanh chóng Giám sát 200 ứng dụng out-of-the-box, ứng dụng tùy chỉnh cách sử dụng WMI, SNMP, CIM, JMX & VMware giao thức API Theo dõi số hi ệu suất máy chủ nhiều nhà cung cấp phần cứng bao gồm hiệu hệ thống điều hành, quy trình, hiệu suất sở hạ tầng ảo Triển khai ứng dụng khả mở rộng giám sát máy chủ phần mềm môi trường đám mây công cộng tư nhân Link Website hãng http://www.solarwinds.com/ ISP Monitor: cho phép kiểm tra tốc độ Internet Sau kích hoạt úng dụng nhận bảng hiển thị tốc độ sử dụng cách xác Đồng thời, IPS Monitor cung cấp chức giám sát lưu lượng truy cập thời gian thực, việc xây dựng bảng hiển thị tốc độ mạng thông qua chế độ đồ họa khác nhau, tất chế độ tùy chỉnh phù hợp với yêu cầu người giám sát Ngồi ra, ISP Monitor hiển thị tỷ lệ phần trăm sử dụng từ tổng hạn mức cho phép điều chỉnh trước đạt đến ngưỡng giới hạn Bạn chọn phép ISP Monitor ngắt kết nối kết nối Internet, đạt đến gi ới hạn ISP Monitor công cụ nhỏ gọn, giao diện đơn giản không chứa phần mềm gián điệp virus, hồn tồn n tâm sử dụng Zabbix: Công cụ giám sát máy chủ mạng với nhiều chức hữu ích Có Agent Zabbix cho nhiều hệ điều hành khác nhau, chọn sử dụng cách kiểm tra thụ động gồm SNMP để giám sát host thiết bị mạng Có chức thơng báo cảnh báo xảy cố Giao diện Web tuỳ biến giúp dễ theo dõi thành phần mà quan tâm Ngồi ra, Zabbix có chức đặc bi ệt để giám sát ứng d ụng Zabbix vẽ biểu đồ đa liên kết logic, liệt kê chi tiết đối tượng giám sát Những biểu đồ tuỳ biết tạo thành nhóm thiết bị giám sát Link website hãng http://www.zabbix.com/ Resource Monitor: Đây công cụ cung cấp thơng tin chi tiết tình trạng sử dụng tài nguyên hệ thống Chúng ta xem tồn tình trạng sử dụng tiến trình với CPU, ổ cứng, mạng, dung lượng nhớ RAM mà hệ thống sử dụng Bên cạnh việc giúp quản lý mức độ sử dụng tài nguyên CPU RAM tiến trình (như Task Manager), Resource Monitor có khả quản lý tình trạng ổ cứng tình trạng mạng Tùy vào thành phần, Resource Monitor liệt kê tiến trình chạy bên trái Dựa vào đó, biết tiến trình sử dụng CPU RAM bao nhiêu, tiến trình kết nối mạng, ti ến trình chạy ẩn khiến ổ cứng hoạt động chậm,… Resource Monitor hữu ích việc giám sát tài nguyên hệ thống System Center Operation Manager: phần mềm giúp cho việc quản lý dịch vụ đầu cuối hãng Microsoft SCOM hoạt động giao thức Simple Network Management Protocol (SNMP), phần mềm, phần cứng nonmicrosoft quản lý System Center Operations Manager Phần mềm giúp đưa nhìn tổng quát tình trạng hoạt động dịch vụ hệ thống,ngồi tăng cường hiệu giám sát dễ dàng tương thích với phần mềm non-windows SCOM cung cấp khả quản lý dịch vụ đầu cuối, dễ dàng mở rộng tùy biến việc nâng cao chất lượng dịch vụ môi trường IT Dưa hoạt động quản lý bao gồm Microsoft server, client, nhóm ứng dụng cung cấp cho bạn kiến thức khả điều khiển giúp giám sát quản lý hệ thống hiệu tự động thực tác vụ, cung cấp báo cáo kiểm tra thông minh để nâng cao hi ệu cho phép kiểm soát quy mô lớn môi trường mạng Dựa tảng bảo mật, tích hợp với Active Directory yếu tố sở hạ tầng giúp dễ dàng cho việc giám sát, cấu hình, triển khai ứng dụng,dịch vụ môi trường phức tạp Link website hỗ trợ: https://technet.microsoft.com/enus/library/hh205987(v=sc.12).aspx Phần - Các giao thức sử dụng giám sát mạng Giới thiệu giao thức quản lý mạng Trong giới với mạng lưới gồm định tuyến (Router), chuyển mạch (Switch), máy chủ (Server) máy trạm (Workstation), dường vấn đề khó khăn cho việc quản lý tất thiết bị mạng đảm bảo chúng làm việc tốt hoạt động tối ưu Để hỗ trợ cho trình quản lý quản lý người ta cho phát triển giao thức quản lý mạng đơn giản (Simple Network Management Protocol) viết tắt SNMP SNMP giới thiệu vào năm 1988 để đáp ứng cho nhu cầu ngày tăng việc quản trị thiết bị sử dụng giao thức internet (Internet Protocol) SNMP cung cấp tập lệnh đơn giản cho phép vi ệc quản lý thiết bị từ xa Quản lý giám sát mạng Cốt lõi SNMP tập lệnh đơn giản cho phép người quản trị có khả thay đổi trạng thái thiết bị quản lý Ví dụ sử dụng SNMP để tắt cổng router hay kiểm tra tốc độ cổng SNMP giám sát nhiệt độ thiết bị cảnh báo nhiệt độ cao SNMP thường kết hợp với quản lý router giao thức dùng để quản lý nhiều loại thiết bị khác Trong người tiền nhiệm SNMP Simple Gateway Management Protocol (SGMP) phát tri ển để quản lý định tuyến SNMP dùng để quản lý hệ thống Linux, Windows, máy in, modem… thiết bị chạy phần mềm cho phép gửi thơng tin SNMP quản lý SNMP thường kết hợp với quản lý router giao thức dùng để quản lý nhiều loại thiết bị khác Trong người tiền nhiệm SNMP Simple Gateway Management Protocol (SGMP) phát tri ển để quản lý định tuyến SNMP dùng để quản lý hệ thống Linux, Windows, máy in, modem… thiết bị chạy phần mềm cho phép gửi thơng tin SNMP quản lý Kiến trúc quản lý SNMP Giao thức SNMP trở thành chuẩn thực tế sử dụng cho quản lý mạng SNMP phương pháp đơn giản yêu cầu mã để thực xây dựng dễ dàng tác nhân SNMP cho sản phẩm chúng Hơn nữa, SNMP thường sở tảng cho kiến trúc quản lý mạng SNMP xác định làm mà thông tin quản lý lại truyền ứng dụng quản lý mạng tác nhân quản lý Mơ hình quản lý Manager-Agent Để truyền thông với tài nguyên bị quản lý mà chưa có cấu tự nhiên để truyền thông tin quản lý, người ta cần phải tạo thành phần trung gian, agent Agent agent quản lý agent bị quản lý Manager thực thể quản lý agent thực thể ấn tương tác manager nguồn tài nguyên bị quản lý thực Thực thể bị quản lý Tài nguyên bị quản lý Agent Thực thể quản lý Mô hình manager – Agent thơng dụng, sử dụng để miêu tả tương tác thực thể quản lý thực thể bị quản lý lớp cao Đây lý mà mơ hình tạo tự nhiên cho mục đích quản lý gần với mơ hình Manager – Agent Tuy nhiên, thực tế mơ hình Manager – Agent phức t ạp h ơn nhiều Chúng ta hiểu rõ phức tạp xem xét tương tác manager hay ứng dụng quản lý với người vận hành mạng Ngồi có thành phần khác, khơng rõ ràng lại chiếm vị trí quan trọng tương tác manager với agent, sách quản lý dẫn vận hành, đưa tới manager để chuyển tới người điều hành mạng Các phiên SNMP 4.1 Giao thức quản lý mạng đơn giản phiên 1(SNMPv1) Phiên giao thức SNMP, SNMPv1 xác định RFC 1157, giao thức quản lý mạng đơn giản (SNMP) Tính đơn giản giao thức rõ ràng rành mạch nhờ thiết lập hoạt động sẵn có Hình tin SNMP đơn giản quản lý sử dụng để truyền liệu từ tác nhân phía thiết bị quản lý Những tin miêu tả sau: Nhận yêu cầu: Được sử dụng quản lý để yêu cầu tham số MIB từ tác nhân Nhận yêu cầu tiếp theo: Được sử dụng sau khởi tạo nhận yêu cầu để khôi phục lại đối tượng từ bảng hay danh sách thể Thiết lập yêu cầu: Được sử dụng để thiết lập tham số thực Nhận đáp ứng: Được sử dụng tác nhân để đáp ứng đến nhận yêu cầu quản lý tin nhận yêu cầu Trap: Được sử dụng tác nhân để truyền báo động không cần yêu cầu đến quản lý Một tin trap gửi điều kiện xảy thay đổi trạng thái thiết bị, thiết bị tác nhân khởi tạo khởi đầu lại 4.2 Giao thức quản lý mạng đơn giản phiên 2(SNMPv2) SNMPv2 giao thức sửa đổi bao gồm cải tiến hiệu suất truyền thông từ quản lý đến quản lý cho SNMP SNMPv2 giới thiệu RFC 1441, giới thiệu phiên hai khung quản lý hệ thống mạng chuẩn, thành viên tiểu ban IETF đồng ý với vài điểm SNMPv2 (giao thức bảo mật quản trị chủ yếu) Một vài cố gắng để đạt chấp nhận SNMPv2 tạo nhờ thực nghiệm sửa đổi phiên bản, biết đên SNMPv2*, SNMPv2, SNMPv2u, SNMPv1+ SNMPv1.5 không chứa phần tranh luận SNMPv2 dựa sở hữu chung (hoặc SNMPv2c), xác định RFC 1901, giới thiệu SNMPv2, tham chiếu đến SNMPv2 bổ sung chung đầy đủ Chữ “c” có nghĩa bảo mật dựa sở hữu chung SNMPv2c sử dụng chuỗi chung SNMPv1 cho truy nhập đọc viết SNMPv2 thay đổi bao gồm giới thiệu hai loại tin sau: Loại tin get-bulk: Được sử dụng cho việc khôi phục lại lượng lớn liệu bảng Bản tin giảm yêu cầu câu trả lời lặp lại, cách cải thiện hiệu suất Yêu cầu thông báo: Được sử dụng để báo động cho quản lý SNMP điều kiện xác định Không giống tin trap không thông báo, tin yêu cầu thông báo báo nhận Một thiết bị quản lý gửi yêu cầu thông báo đến NMS; báo nhận NMS nhận tin nhờ gửi tin đáp ứng trở lại thiết bị quản lý Cải tiến khác mà SNMPv2 mang lại so sánh với phiên SNMPv1 s ự bổ sung kiểu liệu với đếm 64 bit đếm 32 bit nhanh bị tràn với giao diện mạng nhanh Tuy nhiên, SNMPv1 SNMPv2 không đưa đặc điểm bảo mật Đặc biệt, SNMPv1 SNMPv2 xác nhận nguồn tin quản lý khơng mã hóa tin Bởi thiếu đặc điểm bảo mật, nhi ều bổ sung SNMPv1 SNMPv2 bị giới hạn, giảm có ích chúng việc quản lý mạng 4.1 Giao thức quản lý mạng đơn giản phiên 3(SNMPv3) SNMPv3 phiên cuối để trở thành chuẩn đầy đủ SNMPv3 miêu tả RFC từ 3410 đến 3415, bổ sung phương pháp để đảm bảo truyền dẫn bảo mật ngưỡng liệu đến từ thiết bị quản lý Bảng liệt kê RFC Chú ý RFC có RFC từ 2271 đến 2275 RFC từ 2570 đến 2575 không dùng RFC Number Title of RFC 3410 Introduction and Applicability Statements for Internet-Standard Management Framework 3411 An architecture for Describing Simple Network Management Protocol (SNMP) Management Frameworks 3412 Message Processing and Dispatching for the Simple Network Management Protocol (SNMP) 3413 Simple Network Management Protocol (SNMP) Applications 3414 User-based Security Model (USM) for Version of the Simple Network Management Protocol (SNMPv3) 3415 View-based Access Control Model (VACM) for the Simple Network Management Protocol (SNMP) SNMPv3 bổ sung bảo mật khả cấu hình từ xa so với phiên SNMP trước SNMPv3 đưa mơ hình bảo mật lựa chọn mức bảo mật Giao thức thông tin quản lý MIB 5.1 Cấu trúc MIB Một MIB tập hợp đối tượng quản lý Một MIB lưu trữ thông tin thu thập tác nhân quản lý nội hạt, thiết bị quản lý cho việc khơi phục sau giao thức quản lý mạng Mỗi đối tượng MIB có xác nhận mà từ ứng dụng quản lý sử dụng để xác nhận khôi phục lại giá trị đối tượng xác định MIB có cấu trúc giống hình nơi mà đối tượng giống nhóm lại nhánh MIB Ví dụ, đếm giao di ện khác nhóm lại nhánh giao diện MIB 5.2 Cấu trúc MIB-II MIB-II phiên mở rộng MIB ban đầu (nó gọi MIB-I) xác định RFC 1213 MIB-II hỗ trợ số lượng giao thức cung cấp cấu trúc thơng tin chi tiết Nó trì thích hợp với phiên trước đây, MIB-II giữ lại xác định đối tượng giống với MIB-I (1.3.6.1.2.1) Ví trị đối tượng MIB-II iso.org.dod.internet.mgmt, t ại m ức ngưỡng đối tượng MIB xác định sau (định nghĩa đối tượng tìm thấy RFC 1213):  Hệ thống (1)  Các giao diện (2)  Biên dịch địa (3)  IP (4)  ICMP (5)  TCP (6)  UDP (7)  EGP (8)  Truyền dẫn (10)  SNMP (11)  Mặc dù định ngĩa MIB-II cải tiến MIB-I, vấn đề chưa giải được:  MIB-II thiết bị trung tâm, có nghĩa tập trung thiết bị riêng biệt, khơng phải mạng tồn vẹn luồng liệu  MIB-II dựa bầu chọn, có nghĩa liệu lưu trữ thiết bị quản lý hệ thống quản lý phải yêu cầu (bầu chọn) thơng qua giao thức quản lý; liệu không gửi tự động Hoạt động giao thức quản lý mạng SNMP Họ giao thức quản lý mạng SNMP hoạt động giao thức TCP/IP Các tin họ giao thức truyền tải dạng gói tin IP Mặc dù họ giao thức SNMP có nhiều phiên khác nhau, SNMPv1, SNMPv2c, SNMPv3, tin chúng có định dạng chung Đó gói tin IP thơng thường bao gồm hai phần chính, là:  Thành phần mào đầu IP Header  Thành phần tải tin Payload Đối với phiên họ giao thức SNMP thành phần tải tin Payload lại tổ chức xếp với trường khác nhau, mục đích chung phần tải tin Payload chứa tập lệnh, thông tin, thông báo, … truyền tải hệ thống quản lý NMS vai trò Manager tiến trình Agent thiết bị mạng cần giám sát quản lý Sau vào phân tích chi tiết trường thơng tin thành phần Payload gói tin SNMP cách thức tổ chức xếp trường thông tin phiên họ giao thức SNMP Kết luận Giao thức quản lý mạng (SNMP) tập hợp hoạt động, chức năng, giúp nhà quản trị mạng quản lý, theo dõi, thay đổi trạng thái thiết bị hệ thống  ... thập để đưa cảnh báo cho người dùng Phần Nhu cầu giám sát mạng LỢI ÍCH CỦA MỘT HỆ THỐNG GIÁM SÁT AN TỒN MẠNG – SIEM Hệ thống giám sát an toàn mạng viết tắt SIEM (Security information and event... Nagios điều cần thiết tối ưu để giám sát hạ tầng mạng Ngồi Nagios có cơng cụ giám sát mạng Syslog-Ng, Logzilla (Php SyslogNg), HP ArcSight Logger, Splunk, dịch vụ giám sát hệ thống Loggly 6.Các giải... chế giúp bạn có nhìn tổng quát nhất, trực quan hệ thống mạng mình, giám sát tồn dịch vụ mạng ứng dụng, dịch vụ ,hệ điều hành, giao thức mạng, hệ thống số liệu chế hạ tầng mạng Ngồi có hàng trăm