1 HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG LÊ THỊ HUYỀN NGHIÊN CỨU GIẢI PHÁP AN NINH TRONG QUẢN TRỊ MẠNG Chuyên ngành: Khoa học máy tính Mã số: 60.48.01 Người hướng dẫn khoa học: PGS TS LÊ VĂN TAM TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI – 2012 MỞ ĐẦU Cùng với lên phát triển xã hội ngày đạt nhiều thành tựu khoa học kỹ thuật đời sống Con người có nhiều nghiên cứu, sáng tạo tiến mạnh mẽ công nghệ thông tin, từ tiềm thông tin trở thành tài nguyên thực sự, trở thành sản phẩm hàng hóa xã hội, tạo thay đổi lớn lực lượng sản xuất, sở hạ tầng, cấu trúc kinh tế, tính chất lao động cách thức quản lý lĩnh vực xã hội Với phát triển công nghệ thông tin nhanh mạnh việc ứng dụng công nghệ thông tin vào đời sống hàng ngày trở nên quen thuộc thiếu với người Và mạng Internet đời phát triển cách mạnh mẽ, làm thay đổi thói quen xã hội, mang lại lợi ích to lớn cho trình phát triển kinh tế xã hội, thông tin liên lạc người Trong thập niên cuối kỷ thứ XX đầu kỷ XXI, mạng máy tính phát triển với hàng trăm triệu máy tính mạng so với ban đầu vài trăm máy Trong tạo hệ thống mạng khó mà việc quản lý hệ thống mạng khó khăn Trong phạm vi đề tài: “NGHIÊN CỨU GIẢI PHÁP AN NINH TRONG QUẢN TRỊ MẠNG” tơi tìm hiểu giao thức SNMP quản lý hệ thống mạng với Cacti Nội dung đề tài sau: tổng quan quản trị mạng an ninh thông tin mạng Internet Các giao thức truyền mạng với kiến trúc quản trị mạng Nghiên cứu cấu trúc giao thức SNMP cấu trúc thông điệp quản trị SNMPv1, SNMPv2 Và giải pháp an ninh cho thông điệp SNMPv3 Kiến trúc mơ hình quản trị mạng với giải pháp an ninh dựa Web Cuối mơ hình quản trị mạng an tồn dựa phần mềm mã nguồn mở với phần mềm Cacti 4 Chương TỔNG QUAN VỀ QUẢN TRỊ MẠNG VÀ AN NINH THÔNG TIN TRÊN MẠNG INTERNET Chương giới thiệu tổng quan quản trị mạng an ninh thông tin mạng Internet Các giao thức truyền mạng với kiến trúc quản trị mạng Vấn đề đảm bảo an ninh cho thông điệp truyền mạng 1.1 GIAO THỨC VÀ DỊCH VỤ INTERNET Bộ giao thức tập hợp giao thức cho phép truyền thông mạng từ host thông qua mạng đến host khác Giao thức mơ tả hình thức tập luật tiêu chuẩn khống chế khía cạnh đặc biệt hoạt động thông tin thiết bị mạng Giao thức xác định dạng thức, định thời kiểm soát lỗi hoạt động truyền liệu Khơng có giao thức, máy tính khơng thể tạo luồng bít đến từ máy tính khác sang dạng ban đầu 1.1.1 Giao thức TCP/IP Giao thức sử dụng mạng Internet giao thức TCP/IP Giao thức TCP/IP (Transmission Control Protocol/Internet Protocol) giao thức cho phép kết nối hệ thống mạng không đồng với Giao thức TCP/IP thực chất họ giao thức làm việc với để cung cấp phương tiện truyền thông liên mạng, giao thức TCP/IP mơ tả theo mơ hình phân tầng sau: Tầng liên kết liệu (Data Link) Tầng mạng (Network) Tầng giao vận (Transport) Tầng ứng dụng (Application) 1.1.2 Giao thức IP Giao thức mạng IP (Internet Protocol) cung cấp chức liên kết mạng nội thành liên mạng để truyền liệu Giao thức IP có vai trị tương tự giao thức tầng mạng mơ hình tham chiếu OSI IP giao thức kiểu không liên kết Phương thức không liên kết khơng cần có giai đoạn thiết lập liên kết trước 1.1.2.1 Cấu trúc liệu địa IP Để đảm bảo cho tất trạm làm việc liên mạng xác định cách nhất, IP sử dụng 32 bit địa cho trạm liên mạng gọi địa IP 1.1.2.2 Phân đoạn khối liệu 1.1.3.1 Giao thức TCP 1.1.3.2 Giao thức UDP 1.2 CÁC KIẾN TRÚC QUẢN TRỊ MẠNG 1.2.1 Quản trị mạng SNMP SNMP tập hợp đơn giản hoạt động giúp nhà quản trị mạng quản lý, thay đổi trạng thái mạng SNMP thường tích hợp vào router, dùng chủ yếu cho router Internet SNMP dùng để quản lý hệ thống Unix, Windows, tất thiết bị chạy phần mềm cho phép lấy thơng tin SNMP quản lý 1.2.2 Quản trị mạng dựa Web 1.2.3 Một số kiến trúc quản trị mạng khác 1.3 VẤN ĐỀ ĐẢM BẢO AN NINH CHO THÔNG ĐIỆP TRUYỀN TRÊN INTERNET 1.3.1 Mối đe dọa thông điệp 1.3.1.1 Các công vào phần cứng 1.3.1.2 Các truy nhập không phép 1.3.1.3 Lỗi hệ thống chương trình ẩn 1.3.1.4 Rị rỉ thơng tin 1.3.1.5 Từ chối dịch vụ 1.3.1.6 Các giao thức không xác định 1.3.2 Một số giải pháp đảm bảo an ninh cho thơng điệp truyền mạng Kiểm sốt đăng ký tên/mật truy nhập mạng Kiểm soát việc truy nhập tài nguyên mạng quyền hạn tài nguyên Mã hóa liệu truyền mạng (bảo mật thơng tin) Ngăn cản truy nhập vật lý bất hợp pháp vào hệ thống (bảo vệ vật lý) Sử dụng tường lửa (firewall) để ngăn cách mạng nội với giới bên mạng nội với 1.4 KẾT LUẬN CHƯƠNG Mục tiêu việc kết nối mạng để nhiều người sử dụng, từ vị trí địa lý khác nhau, khơng giới hạn khoảng cách, sử dụng chung tài nguyên, đặc biệt tài nguyên thông tin Do dặc điểm nhiều người sử dụng phân tán mặt địa lý nên việc bảo vệ tài nguyên tránh khỏi mát, xâm phạm mơi trường phức tạp so với máy tính đơn lẻ, hay người sử dụng Hiện vấn đề an ninh, an toàn hệ thống quan trọng Đảm bảo an ninh mạng, an toàn cho hệ thống cần thiết Do hệ thống an ninh phải đảm bảo an toàn cho toàn hệ thống 9 Chương QUẢN TRỊ MẠNG SNMP VÀ AN NINH CỦA SNMPv3 Chương giới thiệu mơ hình quản trị mạng SNMP với version1, 2, Đi vào nghiên cứu cấu trúc giao thức SNMP cấu trúc thông điệp quản trị SNMPv1, SNMPv2 Và giải pháp an ninh cho thông điệp SNMPv3 2.1 MƠ HÌNH TRUYỀN THƠNG CỦA QUẢN TRỊ MẠNG SNMPv1, SNMPv2 2.1.1 Hệ thống truyền thông Manager/Agent Khi xây dựng hệ thống quản lý, có nhiều khía cạnh, vấn đề cần phải quan tâm Bên cạnh mơ hình truyền thơng Manager – Agent cịn có nhiều mơ hình khác sử dụng kết hợp với mối quan hệ manager agent 2.1.2 Các lệnh truyền thông Manager/Agent SNMP sử dụng lệnh Read, Write, Trap số lệnh tùy biến để quản lý thiết bị: Lệnh Read: Lệnh Write: Lệnh Trap: 10 2.1.3 Cấu trúc thông điệp quản trị mạng SNMPv1, SNMPv2 Các thông điệp SNMPv1 SNMPv2 định nghĩa cách thức mà phần mềm Manager tác nhân Agent giao tiếp với 2.1.3.1 Cấu trúc lệnh tin SNMPv2 2.1.3.2 Cấu trúc tin 2.1.4 Cơ chế đảm bảo an ninh SNMPv1, SNMPv2 Một hướng khác quản trị mạng theo dõi hoạt động mạng, có nghĩa theo dõi tồn mạng trái với theo dõi router, host, hay thiết bị riêng lẻ RMON (Remote Network Monitoring) giúp ta hiểu mạng tự hoạt động, thiết bị riêng lẻ mạng hoạt động đồng mạng 2.2 GIẢI PHÁP AN NINH CHO CÁC THÔNG ĐIỆP TRONG SNMPv3 Các phiên SNMPv1 SNMPv2 bao gồm dạng MIB chuẩn, gọi MIB-I MIB-II SNMP version 3: phiên IETF đưa 11 đầy đủ Nó khuyến nghị làm chuẩn, định nghĩa RFC 1905, … 2.2.1 Kiến trúc modul cấu trúc thông điệp quản trị mạng SNMPv3 2.2.1.1 Cấu trúc phần tử SNMP 2.2.1.2 SNMP engine  Phân hệ xử lý tin:  Phân hệ bảo mật  Phân hệ điều khiển truy cập: 2.2.1.3 Phần mềm ứng dụng SNMPv3 2.2.2 Mơ hình bảo mật dựa người dùng (User – Based Security Model) 2.2.2.1 Các giao diện dịch vụ trừu tượng 2.2.2.2 Các giao diện ngun thủy xác thực mơ hình bảo mật dựa người dùng 2.2.2.3 Các giao diện nguyên thủy bảo mật mơ hình bảo mật dựa người dùng 2.2.2.4 Các tin SNMP sử dụng mơ hình bảo mật 12 2.2.2.5 Các dịch vụ cung cấp mơ hình bảo mật dựa người dùng 2.2.3 Mơ hình điều khiển truy nhập dựa danh sách đối tượng (View – Based Access Control Model – VACM) 2.3 KẾT LUẬN CHƯƠNG Những nghiên cứu tổng quan quản trị mạng kiến trúc quản trị mạng cho ta thấy kiến trúc có ưu nhược điểm khác Nhưng mục đích chung kiến trúc có quản trị mạng Hiện SNMP triển khai hỗ trợ rộng rãi Nó giải pháp cho nhiều nhiệm vụ quản trị mạng, vấn đề sử dụng SNMP là: thông điệp SNMP nghi thức hỏi – đáp đơn giản (máy trạm gửi yêu cầu, máy agent phản hồi kết quả) nên SNMP sử dụng giao thức UDP Với phát triển mạnh mẽ mạng thiết bị mạng, đặc biệt mạng Internet việc sử dụng SNMP công cụ để quản trị ngày phát triển 13 Chương QUẢN TRỊ MẠNG DỰA TRÊN WEB VÀ GIẢI PHÁP AN NINH Chương giới thiệu kiến trúc mơ hình quản trị mạng với giải pháp an ninh dựa Web 3.1 KIẾN TRÚC VÀ MƠ HÌNH QUẢN TRỊ DỰA TRÊN WEB 3.1.1 Proxy WBM 3.1.2 Nhúng WBM 3.2 GIẢI PHÁP AN NINH CHO QUẢN TRỊ MẠNG DỰA TRÊN WEB 3.2.1 Nghiên cứu an ninh Proxy WBM 3.2.2 Nghiên cứu an ninh nhúng WBM 3.2.3 Secure Sockets Layer – SSL - Xác thực Server - Xác thực Client - Mã hoá kết nối Với việc sử dụng SSL, Website cung cấp khả bảo mật thông tin, xác thực tồn vẹn liệu đến người dùng SSL tích hợp sẵn vào Web 14 browser Web server, cho phép người sử dụng làm việc với trang Web chế độ an toàn 3.2.4 SSL – Record Protocol 3.2.5 SSL – Handshake Protocol 3.3 KẾT LUẬN CHƯƠNG Cùng với phát triển vượt bậc hệ thống mạng mơ hình bảo mật mơ hình quản trị mạng khơng tránh khỏi công, xâm nhập bất hợp pháp kẻ khác Trong mơ hình quản trị mạng dựa web vấn đề bảo mật chủ yếu dựa xác thực mã hóa kết nối giao thức SSL Tuy mơ hình bảo mật quản trị mạng dựa web có nhiều ưu điểm khơng tránh khỏi cơng có chủ định để đánh cắp, phá hoại thông tin Trong tương lai xây dựng sử dụng kết hợp nhiều giao thức bảo mật vào việc quản trị mạng dựa Web 15 Chương XÂY DỰNG HỆ THỐNG QUẢN TRỊ MẠNG AN TOÀN DỰA TRÊN PHẦN MỀM MÃ NGUỒN MỞ Chương giới thiệu mơ hình quản trị mạng an tồn dựa phần mềm mã nguồn mở với phần mềm Cacti 4.1 LỰA CHỌN MƠ HÌNH THỬ NGHIỆM Cài đặt Cacti Cài đặt Cacti: Downloat Cacti version cài đặt địa http://www.cacti.net/index.php 4.2 PHÂN TÍCH Q TRÌNH HOẠT ĐỘNG Cấu hình cacti Giao diện chương trình Thêm thiết bị quản lý Sau đăng nhập thành công vào hệ thống thực số thao tác cấu hình như: Create devices for network, create graphs for your new devices, view yous new graphs, thêm số thiết bị quản lý Tạo graphs quản lý theo sơ đồ 16 Lựa chọn data cần add vào danh sách, sau save để hồn tất Sau tạo song new device ta chọn “create graphs for this host” để tạo graphic cho data thu thập device Quản lý hệ thống Tùy thuộc vào thiết bị sử dụng Template khác , downloat template http://forums.cacti.net/about15067.html Chúng ta import template để quản lý thiết bị dạng biểu đồ dễ dàng Những thiết bị quản lý chi tiết thông số như: Memory, CPU, Proceses: Từ thơng tin cấu hình kết hợp với template quan sát hệ thống dạng sơ đồ: Có thể xem thơng tin theo ngày để giúp người quản trị nắm vững tình hình hệ thống: Chuyển sang tab graphs để quản lý theo sơ đồ lựa chọn ngày, tháng Cấu hình ngưỡng cảnh báo cho hệ thống 17 Chúng ta add thêm ngưỡng tùy thuộc vào yêu cầu hệ thống Thông thường ta mặc định số ngưỡng cần thiết 4.3 KẾT LUẬN CHƯƠNG SNMP thiết kế đơn giản hóa q trình quản lý thành phần mạng, nhờ phần mềm SNMP phát triển nhanh tốn chi phí SNMP thiết kế để mở rộng chức quản lý, giám sát Khi có thiết bị với thuộc tính, tính người ta thiết kế tùy chọn SNMP để phục vụ cho riêng SNMP thiết kế hoạt động độc lập với kiến trúc chế thiết bị hỗ trợ SNMP Các thiết bị khác có hoạt động khác hoạt động dựa giao thức SNMP giống Quản lý hệ thống mạng với Cacti, giúp cho người quản trị theo dõi kiểm sốt hoạt động hệ thống mạng quản lý Với yêu cầu cấu hình hệ thống mạng cụ thể triển khai quản lý mạng với Cacti 18 KẾT LUẬN Sau thời gian học tập nghiên cứu, tơi hồn thành luận văn đạt số kết định Trong luận văn tơi trình bày kiến thức an ninh kiến trúc quản trị mạng SNMP Nội dung đề cập là: Tổng quan quản trị an ninh thông tin mạng Internet Nghiên cứu giải pháp an ninh kiến trúc mạng SNMP Trong phạm vi đề tài nghiên cứu quản trị hệ thống mạng tơi tìm hiểu giao thức SNMP quản lý hệ thống mạng với Cacti, trình nghiên cứu ngồi thuận lợi có nhiều tài liệu mạng bảo tận tình Thầy, Cơ giáo Học viện Bưu viễn thơng đặc biệt Thầy giáo hướng dẫn: PGS.TS Nguyễn Văn Tam – Viện Công nghệ thông tin, song cịn có khó khăn hạn chế 19 Tuy vậy, q trình thực tơi tìm hiểu tổng quan giao thức SNMP cách triển khai quản lý hệ thống mạng với Cacti Phần mềm Cacti giúp giải khó khăn Doanh nghiệp quản lý tài nguyên mạng, cho phép quản lý cố, quản lý topo mạng cấu hình thiết bị mạng Quản lý chất lượng hoạt động, quản lý an ninh mạng tạo nên hệ thống mạng chủ động  ... TỔNG QUAN VỀ QUẢN TRỊ MẠNG VÀ AN NINH THÔNG TIN TRÊN MẠNG INTERNET Chương giới thiệu tổng quan quản trị mạng an ninh thông tin mạng Internet Các giao thức truyền mạng với kiến trúc quản trị mạng. .. hình quản trị mạng với giải pháp an ninh dựa Web 3.1 KIẾN TRÚC VÀ MƠ HÌNH QUẢN TRỊ DỰA TRÊN WEB 3.1.1 Proxy WBM 3.1.2 Nhúng WBM 3.2 GIẢI PHÁP AN NINH CHO QUẢN TRỊ MẠNG DỰA TRÊN WEB 3.2.1 Nghiên cứu. .. tin mạng Internet Nghiên cứu giải pháp an ninh kiến trúc mạng SNMP Trong phạm vi đề tài nghiên cứu quản trị hệ thống mạng tìm hiểu giao thức SNMP quản lý hệ thống mạng với Cacti, trình nghiên cứu