Chương 5. Quản trị mạng và các hệ thống quản trị based polling. Với kỹ thuật này, khi một thiết bị hỏng, agent sẽ cố gắng gửi thông báo (trap) về module quản trị, module này sẽ thực hiện truy vấn đến thiết bị đó để xác định chi tiết của vấn đề. Đây là một hướng tiếp cận tốt nhằm giảm thiểu lưu lượng thông tin quản lý. + Auto Discovery Ý tưởng đằng sau khái niệm này là chúng ta chỉ cần cài đặt module quản trị rồi ra lệnh cho nó, nó sẽ tự động gửi các truy vấn (và...
Chương Quản trị mạng hệ thống quản trị based polling Với kỹ thuật này, thiết bị hỏng, agent cố gắng gửi thông báo (trap) module quản trị, module thực truy vấn đến thiết bị để xác định chi tiết vấn đề Đây hướng tiếp cận tốt nhằm giảm thiểu lưu lượng thông tin quản lý + Auto Discovery Ý tưởng đằng sau khái niệm cần cài đặt module quản trị lệnh cho nó, tự động gửi truy vấn (và agent) đến thiết bị mạng tự động xây dựng đồ hay sở liệu hệ thống dựa thơng tin trả lời Có nhiều chế để thực việc này, tuỳ thuộc vào protocol quản trị, nhiên đến chức hệ quản trị chưa hoạt động ý muốn tính phức tạp hệ thống + Device Configuration Đây chức cần thiết để cấu hình thiết bị hệ thống từ trình giao diện điều khiển, không cần phải đến tận nơi đặt thiết bị, điều quan trọng, hỗ trợ nhiều cho người quản trị với mạng lớn, khoảng cách xa Vấn đề phải có agent chế cấu hình thích hợp cho thiết bị + Graphical Mapping Các hệ thống quản trị mạng ngày cần phải có hệ giao diện đồ hoạ tốt Nó giúp cho việc theo dõi hệ thống mạng dễ dàng hơn, hệ thống mạng phức tạp ngày + Trapping Events Như đề cập đây, “trap” phương thức quan trọng để agent báo cho module quản trị biết có cố bất thường xảy Trap báo cáo, chứa đủ thơng tin để module quản trị biết chuyện xảy Ví dụ, interface bị “down” “up” lại, hay thử xâm nhập trái phép vào thiết bị, + Event Logging Cho phép thu thập, lưu trữ lại kết truy vấn, báo cáo từ agent để phục vụ cho việc phân tích sau Hệ quản trị cần phải cho phép cấu hình kiện cần lưu lại, hệ thống mạng lớn phát sinh nhiều - 147 - Chương Quản trị mạng hệ thống quản trị kiện, không lọc lại dẫn đến tình trạng tràn vùng lưu trữ thời gian ngắn Hệ quản trị nên có chế lưu trữ xoay vịng + Protocol Analysis Có thể cơng cụ mạnh mẽ hệ quản trị Cho phép bắt phân tích đến mức chi tiết packet lưu thông mạng giúp người quản trị xác định cố mạng cách nhanh chóng (nếu cấu hình đúng) 5.2.3 Hệ thống quản trị mạng thực tế Các hệ thống quản trị mạng xây dựng dựa protocol quản trị cụ thể Hầu hết hệ thống sử dụng protocol mở, nhiên có số hệ thống sử dụng protocol đặc biệt nhà cung cấp Các hệ thống quản trị mạng thường thiếu chức cần thiết để quản lý hiệu hệ thống mạng, tính phức tạp hệ thống mạng protocol sử dụng thiếu hỗ trợ cần thiết Hiện có nhiều gói phần mềm quản trị hệ thống mạng đến từ nhiều nhà cung cấp khác nhau, số cung cấp chức đơn giản để quản lý mạng nhỏ, số khác phức tạp hơn.Việc lựa chọn hệ thống quản trị phụ thuộc tiêu chí mơi trường mạng(độ lớn, chất hệ thống) , yêu cầu quản trị, chi phí, hệ điều hành,… thường phải dùng phối hợp nhiều gói phần mềm khác để đáp ứng nhu cầu quản trị Các hệ thống quản trị mạng chủ yếu tập trung vào lĩnh vực bảo mật Trong lĩnh vực bảo mật mạng, bên cạnh việc sử dụng hệ thống bảo vệ truyền thống firewall, proxy,… ngày người ta thường sử dụng thêm hệ thống thông minh hơn, hệ thống phát xâm nhập (Intrusion Detection System(IDS)) Mặc dù hệ thống IDS chuyên sâu lĩnh vực bảo mật mạng, ý tưởng, kỹ thuật sử dụng hệ thống IDS sử dụng lĩnh vực quản trị mạng khác Phần giới thiệu đôi nét hệ thống IDS - 148 - Chương Quản trị mạng hệ thống quản trị 5.3 Hệ thống Intrusion Detection System (IDS) 5.3.1 Khái niệm IDS hệ thống phịng thủ, có nhiệm vụ phát hoạt động trái phép, có khả gây nguy hiểm cho hệ thống mạng bảo vệ phát sinh phản ứng thích hợp 5.3.2 Các hướng tiếp cận Một hệ thống IDS cần phải có khả phân biệt hoạt động bình thường bất bình thường người dùng để phát nguy tiềm ẩn Có số hướng tiếp cận truyển thống để giải vấn đề anomal detection signature detection Anomal detection IDS dạng xây dựng tập liệu hoạt động bình thường người dùng hệ thống, sau sử dụng tập liệu để so sánh với hoạt động nhằm phát hoạt động bất bình thường Khi có tập liệu hoạt động bình thường tất hành động mạng khơng có tập liệu xem bất bình thường Một ưu điểm lớn hướng tiếp cận phát hành động phạm pháp chưa biết đến, nhiên nhược điểm tỷ lệ phát sai lớn tập liệu không chứa đầy đủ hoạt động bình thường Signature detection IDS dạng sử dụng tập liệu hoạt động phạm pháp biết (ví dụ mẫu cơng, chuỗi ký tự nguy hiểm,…) để phát hoạt động bất bình thường Hướng tiếp cận có độ xác cao, tỷ lệ phát sai thấp, thuật toán xử lý đơn giản, dễ xây dựng tập liệu, nhiên khuyết điểm lớn để “lọt” qua hoạt động phạm pháp chưa biết đến, phải liên tục cập nhật tập liệu - 149 - Chương Quản trị mạng hệ thống quản trị Các hướng tiếp cận sử dụng hầu hết hệ thống IDS nay, nhiên hướng tiếp cận có giới hạn lớn phụ thuộc vào kiến thức có hệ thống lĩnh vực bảo mật nhà xây dựng ứng dụng, khó thích nghi với hệ thống mạng mới, phức tạp, kiểu công mới,… Hiện nay, giới xuất hướng tiếp cận nhằm đưa khả thông minh nhân tạo vào hệ thống IDS, nâng cao tính xác, tuỳ biến hệ thống Công nghệ Data mining (khai thác liệu) công nghệ hướng tiếp cận Công nghệ khai thác liệu sử dụng để phân tích, trích thơng tin chưa biết đến hữu dụng từ tập lớn gói liệu, thơng tin theo dõi hệ thống (log file), để huấn luyện hệ thống hay tạo tập liệu sử dụng hướng tiếp cận Đã có nhiều kỹ thuật khai thác liệu nghiên cứu, chưa thể áp dụng thực tế nguyên nhân quan trong thực tế, hệ thống mạng thiếu thiết bị có lực xử lý lớn để xử lý khối lượng khổng lồ liệu thông tin mạng Các thông tin chi tiết hệ thống IDS tiếp cận Khai thác liệu hệ thống IDS, xin xem thêm tài liệu tham khảo 5.4 Giới thiệu số công cụ hỗ trợ quản trị mạng Như trình bày trên, để có hệ thống quản trị tốt nay, cần sử dụng kết hợp nhiều loại công cụ khác Dưới xin giới thiệu số công cụ cần thiết: 5.4.1 Ethereal Ethereal, phần mềm mã nguồn mở, bắt phân tích packet theo protocol mạng, có tất chức cần thiết chương trình phân tích packet Ethereal phần mềm sử dụng rộng rãi chuyên gia mạng việc phân tích, gỡ rối, phát triển protocol mạng, xem xét packet lưu - 150 - Chương Quản trị mạng hệ thống quản trị thơng hệ thống mạng, từ cung cấp thơng tin hữu ích việc quản trị mạng Hình 5-2 Màn hình giao diện Ethereal Một số chức chính: + Cho phép bắt packet lưu thông hệ thống mạng theo lọc (capture filters) đặc tả nhà quản trị, lưu xuống file liệu + Hỗ trợ nhiều định dạng file packet khác nhau, Sniffer™ Pro, AIX's iptrace, Microsoft's Network Monitor, Novell's LANalyzer, RADCOM's WAN/LAN Analyzer, Cisco Secure IDS iplog, … ,hỗ trợ định dạng file XML Do tương thích với nhiều phần mềm khác + Bắt packet nhiều chuẩn mạng khác Ethernet, FDDI, PPP, Token-Ring, IEEE 802.11, Classical IP over ATM, loopback interfaces + Hiện có khả phân tích packet theo khoảng 530 protocol mạng thông dụng + Các thông tin packet hiển thị theo nhiều dạng khác giao diện đồ họa, sử dụng lọc hiển thị (display filter) để lựa chọn packet cần theo dõi, tơ màu thơng tin hữu ích +… - 151 - Chương Quản trị mạng hệ thống quản trị Ethereal bắt packet lưu thông segment mạng (giữa máy tính có địa mạng với máy tính chạy Ethereal), khơng thể sử dụng phân tích, cung cấp thông tin mạng lớn Ghi chú: Thông tin chi tiết Ethereal, xin tham khảo Website : http://www.ethereal.com tài liệu hướng dẫn sử dụng Ethereal [25] 5.4.2 Snort Là hệ thống IDS mã nguồn mở tốt nay, có khả thực phân tích ghi nhận thơng tin packet lưu thông hệ thống mạng theo thời gian thực Nó thực phân tích theo protocol tìm kiếm nội dung để phát nhiều loại công khác : làm tràn đệm (buffer overflow), quét cổng (scan port), khai thác điểm yếu hệ điều hành, công từ chối dịch vụ nhiều dạng công khác Snort sử dụng ngôn ngữ đặc tả luật mềm dẻo để mô tả lưu thơng mạng cần theo dõi Snort có chế báo động (alerting) theo thời gian thực phát có vấn đề khả nghi, kết hợp với thông báo khác hệ điều hành Các thông tin thông báo, báo động lưu theo nhiều định dạng khác nhau, nhiều dạng sở liệu khác SQL Server, Oracle, file text, Các liệu dùng bước phân tích, khai thác liệu sau Ghi chú: Thông tin chi tiết Snort, xin tham khảo tài liệu [37] website : www.snort.org - 152 - Chương Hệ thống quản trị Grid NetManager Chương Hệ thống quản trị Grid NetManager 6.1 Giới thiệu ý tưởng Như biết phần trên, ngày phận quản trị mạng phải phân tích, xử lý khối lượng thông tin khổng lồ nhằm đưa giải pháp, phản ứng theo thời gian thực để đảm bảo cho hệ thống mạng hoạt động thông suốt, tin cậy, an tồn Để thực tốt cơng việc mình, phận quản trị mạng cần phải có cơng cụ phân tích, cung cấp thông tin hoạt động hệ thống mạng mạnh mẽ Trên giới có nhiều hướng tiếp cận, có cơng cụ hỗ trợ mạnh Tuy nhiên, chúng số giới hạn giá cả, lực xử lý, chưa tích hợp đầy đủ chức năng,… Sau thời gian tìm hiểu nghiên cứu, công nghệ Grid Computing chọn ứng dụng vào tốn phân tích, cung cấp thơng tin hỗ trợ quản trị mạng với hy vọng tận dụng lực xử lý nhàn rỗi có hệ thống mạng để giải toán hiệu hơn, giới hạn chi phí chấp nhận Mục tiêu lâu dài xây dựng hệ thống nhằm hỗ trợ phận quản trị mạng lĩnh vực: quản lý hiệu năng, quản lý lỗi bảo mật Đưa công nghệ khai thác liệu (data mining) trí tuệ nhân tạo vào hệ thống để phân tích liệu thu được, tìm quy luật sử dụng người dùng, quy luật công, … nhằm huấn luyện hệ thống tự động nhận dạng mối nguy hiểm đưa phản ứng thích hợp, hiệu Hệ thống tích hợp nhiều gói phần mềm có thể thống nhằm đơn giản hố cơng việc thỏa mãn nhu cầu quản trị Ứng dụng kế thừa ý tưởng hệ thống IDS mở rộng lĩnh vực khác bảo mật Hệ thống theo dõi, xử lý thơng tin tồn hệ thống mạng khơng phải lối vào hệ thống mạng hệ thống IDS - 153 - Chương Hệ thống quản trị Grid NetManager 6.2 Yêu cầu chức hệ thống quản trị mạng Hệ thống quản trị mạng gồm chức chính: + Bắt lưu trữ thông tin packet lưu thông mạng sở liệu phục vụ cho việc phân tích, xử lý khai thác liệu Cho phép lọc liệu cần thiết theo yêu cầu nhằm làm giảm kích thuớc lưu trữ + Cho phép xử lý, lưu trữ, quản lý liệu phân tán + Cung cấp thơng tin nhiều khía cạnh khác hệ thống mạng dựa câu truy vấn + Tính tốn, cung cấp số thống kê hệ thống mạng + Tự động tổng hợp thông tin, vẽ sơ đồ thời gian thực lưu thông mạng, phát thay đổi đồ hình mạng + Cho phép quản lý, điều khiển thiết bị hệ thống mạng + Thực “khai thác liệu”, tìm luật theo yêu cầu người quản trị, cho phép nhập, quản lý đặc tả luật phản ứng tương ứng để theo dõi, giám sát toàn hệ thống nhiều lĩnh vực + Dựa luật mơ tả, thực theo dõi tồn hệ thống phát sinh phản ứng thích hợp tượng bất thường xảy - 154 - Chương Hệ thống quản trị Grid NetManager 6.3 Mơ hình thành phần hoạt động hệ thống 6.3.1 Mơ hình thành phần Hình 6-1 Mơ hình thành phần ứng dụng Grid NetManager - 155 - Chương Hệ thống quản trị Grid NetManager Giải thích STT Tên Module Presentation Module Sensor Module AnalyzerAndMiner Module RuleManager Module Monitoring Module DeviceAgent Module GridManager PacketDatabase 10 RuleDatabase Log files 11 PreprocessingData Nhiệm vụ Là giao diện đồ họa, có nhiệm vụ nhận lệnh từ nhà quản trị mạng, cấu hình điều khiển module khác hoạt động, thu nhận, tổng hợp thông tin từ module kết xuất kết cho nhà quản trị Bắt, lọc, lưu trữ packet vào sở liệu Thực phân tích liệu từ sở liệu để cung cấp thông tin cần thiết cho nhà quản trị; khai thác liệu, phát sinh luật Cung cấp chức quản lý, lưu trữ, truy vấn tập luật Thực lấy luật theo dõi, phân tính packet theo thời gian thực để phát hiện tượng bất thường, từ dựa vào đặc tả phản ứng mà phát sinh hành động thích hợp, thơng báo cho nhà quản trị, lưu xuống file log hay phát sinh lệnh điều khiển thích hợp đến module DeviceAgent Nhận lệnh điều khiển để điều khiển cấu hình thiết bị nhằm thực điều khiển hệ thống mạng có hành động phù hợp để đáp ứng kiện Thực tất chức để quản lý, điều khiển Grid Cơ sở liệu thông tin packet Có thể lưu dạng packet thơ, sở liệu quan hệ, cấu trúc liệu tiền xử lý cho chức hệ thống Cơ sở liệu luật Các file ghi vết kiện xảy hệ thống module Monitoring ghi nhận Lưu trữ liệu tiền xử lý phục vụ việc phân tích liệu phát sinh luật Bảng 6-1 Các thành phần ứng dụng Grid NetManager Các module thiết kế để hoạt động tách biệt, module chạy nhiều máy tính, thiết bị khác nhau, máy có nhiều module, module nhiều thực thể thực thi song song với nhằm tận dụng tài - 156 - Chương Hệ thống quản trị Grid NetManager nguyên Các liệu lưu trữ phân tán Grid Việc cấu hình vị trí module, liệu thực tự động tay theo ý nhà quản trị 6.3.2 Cách thức hoạt động Một hệ thống mạng máy tính lớn thường chia thành nhiều mạng (các vùng broadcast domain, phạm vi luận văn gọi LAN Segment) Trên LAN Segment, đặt hay nhiều module Sensor máy tính khác nhằm bắt packet lưu thơng LAN Segment theo tiêu chí khác lưu trữ packet xuống sở liệu (PacketDatabases), sở liệu lưu trữ cục hay phân tán máy tính khác dựa khả lưu trữ có, sở liệu chứa thơng tin packet lưu thông LAN segment Các tiêu chí để bắt packet câu mô tả thông tin packet bao gồm (loại packet, trường giá trị tương ứng kết hợp với phép toán so sánh >,