Đang tải... (xem toàn văn)
Mục tiêu nghiên cứu của bài viết này là đề xuất và xây dựng giải pháp tối ưu hóa hoạt động của các mạng này để có thể áp dụng cho hệ thống mạng của các trường Đại học.
ISSN 2354-0575 NGHIÊN CỨU, XÂY DỰNG MƠ HÌNH GIÁM SÁT HOẠT ĐỘNG VÀ AN TOÀN HỆ THỐNG MẠNG CHO CÁC TRƯỜNG ĐẠI HỌC SỬ DỤNG NGUỒN MỞ Nguyễn Thị Thanh Tú1, Nguyễn Huy Hùng1, Nguyễn Minh Quý2 Trường Đại học Bách khoa Hà Nội Trường Đại học Sư phạm Kỹ thuật Hưng Yên Ngày nhận: 26/1/2016 Ngày xét duyệt: 10/3/2016 Tóm tắt: Khoảng năm trở lại đây, mạng máy tính Trường Đại học Việt Nam có mạng Bách khoa Network có bước phát triển mạnh mẽ quy mơ đóng vai trị ngày quan trọng hoạt động trao đổi thông tin, hoạt động nghiên cứu trường đại học Tuy nhiên, đặc thù kinh tế lịch sử, mạng máy tính Campus thường không đồng bộ, thiết bị bổ sung với nhiều chủng loại đến từ hãng khác Điều dẫn đến hiệu hoạt động mạng bị hạn chế, việc vận hành, kiểm soát hệ thống gặp nhiều khó khăn khơng đồng thiết bị Hiện nay, chưa có nghiên cứu, đánh giá giải pháp để tối ưu hóa hiệu sử dụng hệ thống phù hợp với đặc thù mạng Từ đó, chúng tơi nghiên cứu đề xuất xây dựng giải pháp tối ưu hóa hoạt động mạng để áp dụng cho hệ thống mạng trường Đại học Từ khóa: CactiEZ, Bảo mật, IDS, SNMP, Rsyslog Đặt vấn đề Hiện nay, Đại học Bách khoa Hà Nội (Trường ĐHBK HN) có sở vật chất với khu khn viên bao gồm phịng ban giảng đường, cộng thêm sở nghiên cứu nằm rải rác xung quanh khu vực Lê Thanh Nghị, Tạ Quang Bửu Số lượng cán công nhân viên sinh viên lớn với chừng 2000 cán hàng chục nghìn sinh viên Để bước đáp ứng nhu cầu sử dụng mạng ngày tăng cao cán nhân viên sinh viên, hệ thống mạng Bách khoa Network - BKNET triển khai mở rộng qua nhiều năm với hàng trăm thiết bị mạng Router, Switch, Server với nhiều chủng loại khác nhau, hàng nghìn nút mạng tỏa khắp ngóc ngách khuân viên rộng lớn Hệ thống hàng ngày phải chịu tải hàng nghìn lượt truy cập Internet trường, thường xuyên phải hứng chịu công mạng với xu hướng ngày gia tăng Bên cạnh đó, thời gian vừa qua, bối cảnh tranh chấp, xung đột lãnh thổ, văn hóa, tơn giáo Trên mơi trường mạng, Việt Nam nước chịu ảnh hưởng cơng mạng có tổ chức quy mơ lớn Hình Mơ hình mạng trường đại học 38 Khoa học & Công nghệ - Số 9/Tháng - 2016 Journal of Science and Technology ISSN 2354-0575 Các công vào hệ thống thông tin quan tổ chức nhà nước nhằm đạt mục đích trị, gây uy tín của quan tổ chức, gây gián đoạn công tác quản lý điều hành Đặc biệt cơng có dấu hiệu diễn phạm vi quy mô lớn dịp nghỉ lễ Việt Nam như: khoảng thời gian từ 28/8 - 04/9/2014, nhằm vào kỳ nghỉ Lễ Quốc khánh, nhiều trang thông tin điện tử Việt Nam bị nhóm tin tặc Trung Quốc công Theo số thống kê Bộ Thơng tin & Truyền thơng, có khoảng 300 websites Việt Nam bị công khoảng thời gian này, số có website quan nhà nước (tên miền gov.vn), tổ chức xã hội tổ chức, doanh nghiệp khác Số lượng máy tính Việt Nam thành viên mạng máy tính ma (Botnet) ngày lớn Các máy tính thường bị điều khiển để gửi thư rác, tin nhắn rác, công từ tối dịch vụ phân tán (DDoS) quy mô lớn Một số số liệu đáng ý an tồn an ninh thơng tin Việt Nam qua báo cáo ATTT công ty an tồn thơng tin uy tín giới năm 2013-2014 sau (Theo báo cáo Arbor từ tháng 11 năm 2014 đến tháng 10 năm 2014): (1) Tổng số công DDoS phải hứng chịu 861 (2) Băng thông tối đa lưu lượng công 43,93Gbps, tốc độ tối đa 6,985M/s (3) Quý năm 2014, Việt Nam hứng chịu cơng có băng thơng lớn 43,93Gbps sử dụng hình thức cơng TCP SYN Flood tới dịch vụ Web khoảng thời gian 19 phút, 14 giây (4) Quý năm 2014, Việt Nam hứng chịu cơng có băng thơng lớn 13Gbps cách lợi dụng điểm yếu bảo mật giao thức, dịch vụ NTP để công tới dịch vụ Web khoảng thời gian 23 phút, 44 giây Từ trạng với hệ thống mạng ngày mở rộng nhanh chóng thiếu tính đồng thống thiết bị công nghệ, tạo rào cản cho việc triển khai hệ thống quản lý giám sát mạng với số lượng lớn thiết bị Từ dẫn đến việc phải nghiên cứu, xây dựng mơ hình giám ats hoạt động an tồn hệ thống mạng cho Trường đại học sử dụng nguồn mở với nhiệm vụ sau: Giám sát mạng giúp người quản trị kịp thời phát trục trặc, cố từ nhanh chóng xử lý khắc phục Giám sát hỗ trợ phân tích tính toán phân chia tải để tăng hiệu sử dụng tài ngun băng thơng tồn hệ thống, tránh tượng thắt cổ chai cục bộ, đảm bảo cho hệ thống hoạt động thông suốt với hiệu cao [1, 2] Giám sát phát thâm nhập giúp người quản trị phát thâm nhập trái phép nhằm Khoa học & Công nghệ - Số 9/Tháng - 2016 phá hoại hệ thống máy tính hay đánh cắp thơng tin Từ cung cấp chức thiết yếu giúp người quản trị lập hay vơ hiệu hóa thâm nhập trái phép hay công phá hoại, giúp đảm bảo an toàn cho hoạt động trao đổi thơng tin tồn hệ thống [3, 4] Theo khảo sát thực tế Trường ĐHBK HN, số vấn đề mà hệ thống mạng BKNET gặp phải là: - Hệ thống mạng thường xuyên bị gián đoạn cục hỏng hóc thiết bị mạng hay tắc nghẽn đường truyền không phát kịp thời khắc phục Có tượng hỏng hóc biết đến báo cáo từ đơn vị bị ảnh hưởng cố báo lên, từ điều cử nhân viên điều tra thăm dò Các tắc nghẽn cục thường không giảm sát đánh giá theo thời gian thực để có điều chỉnh chia tải kịp thời, cố xảy thường xuyên có gia tăng đột biến lượng người dùng hay lượng thông tin trao đổi nút mạng, hay virus mạng công Hiện nay, cách khắc phục cố mang tính thủ cơng chậm chạp, thực sau có phản ảnh từ đơn vị, sau kỹ thuật viên chun mơn nghiệp vụ cố gắng điều tra đánh giá tình hình, để từ bàn thảo đưa giải pháp khắc phục Quá trình thường nhiều thời gian gây trở ngại lớn cho công tác thông tin liên lạc số đơn vị phạm vị ảnh hưởng cố - Hệ thống server dịch vụ bị chiếm quyền điều khiển, từ kẻ cơng lợi dụng tên miền Trường để công server khác, làm cho hệ thống tên miền trường bị liệt vào blacklist Tạo nên số tình trạng xấu hệ thống mail trường gửi mail đến hệ thống mail khác bị chặn lại bị đẩy vào hòm thư rác, làm gián đoạn việc trao đổi thông tin liên lạc Những tượng gây ảnh hưởng lớn, nghiêm trọng, đến hoạt động quản lý điều hành trường hoạt động trao đổi thông tin chuyên môn giảng viên nhà nghiên cứu trường với đối tác bên Hình Virus tống tiền (Ransomware) Journal of Science and Technology 39 ISSN 2354-0575 - Server website Khoa, viện bị chiếm quyền điều khiển từ kẻ công phát tán virus dựa truy cập đến server Các nguồn lây từ virus chiếm đoạt thông tin người dùng, lợi dụng máy tính bị nhiễm virus cơng server khác hệ thống mạng Internet Các virus có khả mã hóa file tài liệu máy tính người dùng (word, excel …) Có thể thấy vấn đề riêng mạng BKNET mà phổ biến cho mạng campus trường đại học lớn có lịch sử phát triển hệ thống mạng qua nhiều giai đoạn lịch sử mà thiếu tính đồng trang thiết bị công nghệ Điểm yếu hệ thống mạng dạng khó khăn quản lý giám sát thiếu tính đồng để triển khai hệ thống thiết bị giám sát chuyên dụng hãng cách hiệu Bởi thiết bị thật phát huy hiệu triển khai hệ thống thiết bị đồng hãng sản xuất, mặt khác giá thành thiết bị vấn đề ngân sách Từ thực tiễn đặt vấn đề cần nghiên cứu phát triển hệ thống quản lý giám sát cho hệ thống mạng BKNET nói riêng hay mạng campus nói chung Đảm bảo hệ thống giám sát chặt chẽ theo thời gian thực, phát phịng ngừa ngăn chặn cơng mạng, có khả dự báo hay phát tắc nghẽn mạng trợ giúp quản lý phân chia tải hợp lý để nâng cao hiệu sử dụng băng thông Đồng thời, phát gián đoạn hệ thống mạng đưa chuẩn đoán hợp lý giúp kỹ thuật viên nhanh chóng khắc phục, đáp ứng nhu cầu thơng tin liên lạc an tốn nhanh chóng thơng suốt tồn hệ thống Hiện nay, chưa có hệ thống phần mền quản lý giám sát mạng toàn diện, đáp ứng đầy đủ yêu cầu nói Chúng có chức giám sát mà thiếu chức quản lý phân chia tài nguyên, phân chia cân tải Về chức giám sát mạnh yếu khía cạnh không đáp ứng đầy đủ yêu cầu để triển khai giám sát ngăn chặn cách phù hợp hiệu hệ thống mạng campus Việt Nam Từ thực trạng này, dẫn đến nhu cầu cấp thiết cần xây dựng tích hợp hệ thống giám sát mạng toàn diện phù hợp với mạng trường đại học Việt Nam, mạng BKNET Đề xuất xây dựng giải pháp cho hệ thống mạng BKNET Qua trình nghiên cứu, nhận thấy hệ thống quản lý giám sát cho mạng campus với đặc thù riêng Việt nam phải hình thành sở tích hợp thành phần hạt nhân: (1) Hệ thống giám sát, phân tích, cảnh báo cơng mạng Và (2) 40 Hệ thống giám sát, quản lý băng thông mạng 2.1 Hệ thống giám sát, phân tích, cảnh báo cơng mạng Khi kiện xảy mạng, thiết bị mạng có chế để thông báo cho quản trị viên với thông báo chi tiết hệ thống Các thông điệp khơng quan trọng quan trọng Quản trị viên có nhiều lựa chọn để lưu trữ, diễn tả, hiển thị thông báo, cảnh báo thơng báo có ảnh hưởng lớn hạ tầng mạng Phương pháp phổ biến để truy cập thông báo hệ thống thiết bị cung cấp mạng sử dụng giao thức gọi syslog Syslog thuật ngữ dùng để mơ tả tiêu chuẩn Nó sử dụng để mô tả giao thức phát triển cho tiêu chuẩn Giao thức syslog phát triển cho hệ thống UNIX năm 1980, lần ghi nhận RFC 3164 IETF năm 2001 Syslog sử dụng cổng UDP 514 để gửi tin nhắn thông báo kiện qua mạng IP cho người thu gom thông báo, minh họa hình [5, 6] Nhiều thiết bị mạng hỗ trợ syslog, bao gồm: routers, switches, application servers, firewalls, thiết bị mạng khác Giao thức syslog cho phép thiết bị mạng để gửi tin nhắn hệ thống họ mạng đến máy chủ syslog Có thể xây dựng (OOB) mạng đặc biệt out-of-band cho mục đích Có gói phần mềm máy chủ syslog khác cho Windows UNIX Nhiều số phần mềm miễn phí [7, 8] Dịch vụ ghi syslog cung cấp ba chức chính: (1) Khả thu thập thông tin đăng nhập để theo dõi xử lý cố (2) Khả chọn loại thông tin đăng nhập mà bị ghi lại (3) Khả xác định điểm đến thơng điệp syslog bị ghi lại.Từ hệ thống muốn triển khai Trường ĐHBK “Thiết lập hệ thống Log Server sử dụng Rsyslog LogAnalyzer mã nguồn mở Linux 6.4/6.5” Hệ thống dựa thuật ngữ SIEM (Security Information and Event Management) hay gọi hệ thống bảo mật thông tin quản lý kiện thuật ngữ dịch vụ sản phẩm phần mềm kết hợp quản lý thông tin bảo mật (SIM) quản lý kiện bảo mật (SEM) Cơng nghệ SIEM cung cấp phân tích thời gian thực tạo cảnh báo bảo mật phần cứng mạng ứng dụng Trong hệ thống Log Analyzer hệ thống SEM thu thập log từ thiết bị máy chủ linux, window dựa vào để phân tích đưa cảnh báo cho người quản trị mạng để kịp thời khắc phục cố sửa lỗi bảo mật nhằm nâng cao tính an tồn, ổn định hệ thống mạng Khoa học & Công nghệ - Số 9/Tháng - 2016 Journal of Science and Technology ISSN 2354-0575 2.2 Hệ thống giám sát, quản lý băng thông mạng Hiện nay, Cacti Nagios Core hai giải pháp mã nguồn mở hồn tồn miễn phí với nhiều chức mạnh mẽ cho phép quản lý băng thông kết nối, tình trạng hoạt động thiết bị, trạng thái dịch vụ hệ thống mạng Nhiều tính Nagios Core Cacti đánh giá cao sản phẩm thương mại Tuy vậy, hai phần mềm có nhược điểm riêng kết hợp hai lại tạo thành giải pháp mã nguồn mở gần hồn chỉnh Chính nhà phát triển giới nghiên cứu đời CactiEZ, giải pháp mã nguồn mở kết hợp hai phần mềm Cacti Nagios Core tạo nên hoàn chỉnh cho hệ thống quản lý giám sát mạng [10] Các hệ thống phát thâm nhập hoạt động độc lập với hệ thống giám sát mạng hai hệ thống có bổ sung cho nhau, thành phần quản trị mạng Việc xây dựng hệ thống phát thâm nhập phù hợp với mạng Campus quy mơ lớn tích hợp với hệ thống giám sát mạng nhu cầu ngày lớn CactiEZ phát triển sản xuất Jimmy Conner, nhà phát triển đam mê với Cacti Plugins CactiEZ khởi đầu dự án tạo phần mềm đơn giản để triển khai máy chủ Cacti, Nagios cách nhanh chóng dễ dàng cài đặt CactiEZ hồn thành tự động hóa với cấu hình tối thiểu cần thiết mục tiêu dự án Kể từ phát triển phạm vi cách sử dụng, sử dụng nhiều cơng ty có quy mơ lớn quy mô nhỏ để triển khai máy chủ Cacti [9] CactiEZ kết hợp hai hệ thống mã nguồn mở tốt Cacti Nagios Phát huy tất ưu điểm bù trừ nhược điểm cho tạo hệ thống quản lý mạng hoàn hảo - Lên kế hoạch cấu hình thiết bị: (1) Xây dựng hệ thống giám sát mạng cho mạng với quy mô đến tất port thiết bị (2) Xây dựng hệ thống giám sát hiệu mạng cho phép đo lường tham số hiệu băng thông, CPU, độ sẵn sàng thiết bị (3) Xây dựng, phát triển hệ thống tương tác, cảnh báo cố kịp thời cho người quản trị mạng thông qua đường email, SMS - Áp dụng thử nghiệm vùng mạng nhỏ, đánh giá Sau đó, áp dụng vào môi trường mạng BKNET, thu thập so sánh kết quả: (1) Ban đầu tiến hành thử nghiệm vùng mạng Trung tâm Mạng Thơng tin (2) Sau cài đặt tất thiết bị sử dụng giao thức quản lý SNMP cho Router/Switch, NRPE cho Linux/Unix, NSClient++ cho Windows (3) Vẽ sơ đồ băng thông tổng thể toàn trường ĐHBK Hà Nội - Đánh giá chung hiệu với mơi trường thực tế, từ đưa phương hướng phát triển tương lai: (1) Hiệu hệ thống đánh giá thông qua số liệu thống kê so sánh với số hệ thống điển hình khác (2) Nghiên cứu, xây dựng hệ thống tính tốn mức độ sử dụng tài nguyên mạng người dùng, nhóm người dùng mạng (3) Nghiên cứu, xây dựng hệ thống phát thâm nhập trái phép Kết đạt 3.1 Chức phân tích, giám sát, cảnh báo cơng mạng Hình Syslog cho thấy dấu hiệu bị cơng dị mật server Khoa học & Công nghệ - Số 9/Tháng - 2016 Journal of Science and Technology 41 ISSN 2354-0575 Những kết đạt trình thực nghiệm từ hệ thống máy chủ trường đại học Bách khoa khả quan Hệ thống log ghi lại kiện xảy server cách hiệu ngày đăng nhập vào server, lỗi hệ thống, tiến trình xảy server, đưa thông báo cảnh bảo hệ thống hiệu Qua trình thực thu thập log máy chủ linux thu thập kết tốt dựa vào hệ thống phân tích cho ta thấy kiểu công vào máy chủ mạng BKNET brute force kiểu công thử password máy chủ để chiếm quyền điều khiển Sau phát dấu hiệu Log server đưa cảnh bảo cách đưa thống kê dựa biểu đồ chi tiết Hình Hình Các report hệ thống giám sát, cảnh báo công mạng Từ liệu thu thập giảm thiểu tối đa vấn đề bảo mật nêu phần trước Giúp hệ thống an toàn vận hành ổn định 3.2 Chức giám sát, quản lý băng thơng mạng Hệ thống có khả thiết lập SMS, Email để gửi cảnh báo đến người quản trị thông qua tin nhắn thiết bị di động hịm thư Hệ thống có chức tập hợp log, đưa thống kê theo ngày, tuần, tháng việc sử dụng băng thông Port hệ thống Hệ thống chia báo cáo log port có thay đổi theo ngày Hệ thống với chức giám sát việc giao tiếp địa IP nội với IP bên ngoài, đưa thống kê mức độ thường xuyên sử dụng để kết nối tới đâu Từ người quản trị biết việc sử dụng hệ thống mạng có mục đích hay khơng người dùng để đưa cảnh báo hay ngăn chặn 42 Kết luận Nhóm nghiên cứu, triển khai thành công hệ thống quản lý giám sát mạng campus, sở xây dựng tích hợp số hệ thống mã nguồn mở, Trường Đại học Bách Khoa Hà Nội Hệ thống sử dụng để quản lý giám sát thiết bị Router, Switch, Server Trường, đồng thời theo dõi để phát kịp thời thiết bị treo, hỏng phịng máy chủ Từ đó, giúp đảm bảo cơng đoạn xử lý, khắc phục cố sớm nhất, để không gián đoạn tới công việc nghiên cứu, giảng dạy học tập đơn vị toàn trường Mặt khác, việc thống kê sử dụng băng thông đơn vị trường giúp cho người quản trị phát băng thông vượt cho phép khơng ổn định Từ đó, kết hợp với hệ thống quản trị mạng phát máy bị nhiễm mã gửi gói tin làm ảnh hưởng đến việc truy cập mạng để ngăn chặn lập, đảm bảo an tồn thơng tin thơng suốt tồn hệ thống Khoa học & Cơng nghệ - Số 9/Tháng - 2016 Journal of Science and Technology ISSN 2354-0575 Tài liệu tham khảo [1] D Anderson, T Frivold, and A Valdes, Next-generation Intrusion-Detection Expert System (NIDES), Technical Report SRI-CSL-95-07, Computer Science Laboratory, SRI International, Menlo Park, CA 94025-3493, USA, May 1995 [2] Stefan Axelsson, Ulf Lindqvist, Ulf Gustafson, and Erland Jonsson, An Approach to UNIX Security Logging, In Proceedings of the 21st National Information Systems Security Conference, pages 62–75, Crystal City, Arlington, VA, USA, 5–8 October 1998 NIST - National Institute of Standards and Technology/National Computer Security Center [3] Stefan Axelsson, The Base-rate Fallacy and Its Implications for the Difficulty of Intrusion Detection, In 6th ACM Conference on Computer and Communications Security, pages 1–7, Kent Ridge Digital Labs, Singapore, 1–4 November 1999 [4] Herve Debar, Monique Becker, and Didier Siboni, A Neural Network Component for An Intrusion Detection System, In Proceedings of the 1992 IEEE Computer Sociecty Symposium on Research in Security and Privacy, pages 240–250, Oakland, CA, USA, May 1992 IEEE, IEEE Computer Society Press, Los Alamitos, CA, USA [5] The syslog-ng Open Source Edition 3.5 Administrator Guide, Copyright © 1996-2014 BalaBit S.a.r.l (file:///C:/Users/Administrator/Downloads/syslog-ng-ose-v3.5-guide-admin.pdf) [6] Extracting Useful Information from Log Messages file:///C:/Users/Administrator/Downloads/BSD_12_2011%20%20BalaBit_single_article.pdf) [7] Nagios Core Administration Cookbook, Tom Ryder [8] Learning Nagios 4, Wojciech Kocjan [9] The Cacti Manual, Ian Berry, Tony Roman, Larry Adams, J.P.Pasnak, Jimmy Conner, Reinhard Scheck, Andreas Braun [10] Cacti 0.8 Beginner’s Guide, Thomas Urban RESEARCHING, BUILDING NETWORK ACTIVITIES AND SECURITY MONITORING SYSTEM FOR UNIVERSITIES BASE ON OPEN SOURCE Abstract: About years recently, computer networks of universities in Vietnam, where in Bach khoa Network has developed strongly in scale and plays a more and more important role in such activities as exchanging information, doing research in universities However, due to the features of economics and history, campus networks are usually inconsistent, i.e the equipment is added up gradually with many types from different companies As a result, the performance of the networks has been limited; their operations, controlling the systems have met many difficulties because of the inconsistency of the equipment Currently, there have not been any researches, evaluation, and solutions to optimize the using performance of the systems which are suitable with the characteristics of these networks Thence, we did a proposal research and built solutions applicable for campus networks Keywords: CactiEZ, Security, IDS, SNMP, Rsyslog Khoa học & Công nghệ - Số 9/Tháng - 2016 Journal of Science and Technology 43 ... thiết bị Từ dẫn đến việc phải nghiên cứu, xây dựng mơ hình giám ats hoạt động an toàn hệ thống mạng cho Trường đại học sử dụng nguồn mở với nhiệm vụ sau: Giám sát mạng giúp người quản trị kịp... công hệ thống quản lý giám sát mạng campus, sở xây dựng tích hợp số hệ thống mã nguồn mở, Trường Đại học Bách Khoa Hà Nội Hệ thống sử dụng để quản lý giám sát thiết bị Router, Switch, Server Trường, ... hoàn hảo - Lên kế hoạch cấu hình thiết bị: (1) Xây dựng hệ thống giám sát mạng cho mạng với quy mô đến tất port thiết bị (2) Xây dựng hệ thống giám sát hiệu mạng cho phép đo lường tham số hiệu