HƯỚNG DẪN SỬ DỤNG CÁC TÍNH NĂNG CỦA PHẦN MỀM

Một phần của tài liệu Giám sát hệ thống mạng với phần mềm Colasoft Capsa (Trang 31)

2.4.1. Mô hình triển khai

Mô hình gồm có 3 PC cài đặt hệ windows, 1 Router kết nối ra internet và mạng LAN và một máy tính cài đặt phần mềm giám sát hệ thống mạng Calasoft Capsa 7 Enterprise. Nhiệm vụ của Calasoft Capsa 7 Enterprise là thực hiện chức năng giám sát nắm bắt các gói tin tin trên mạng để phát hiện và ngăn chặn xâm nhập hệ thống.

2.4.2. Giám sát hoạt động của hệ thống mạng

Để chương trình có thể hoạt động thì chúng ta phải chọn ít nhất một card mạng được tích hợp trong máy tính.

Nhấp vào biểu tượng Adapter tại tab Analysis:

Sau khi click vào biểu tượng Adapter sẽ xuất hiện hộp thoại như sau:

Colasoft Capsa hỗ trợ Card Ethernet và nhiều adapter . Người quản trị có thể phân tích và giám sát mạng từ nhiều hơn một adapter.

Hộp thoại Network Adapter có hai phần sau đây: + Danh sách Network Adapter

Colasoft Capsa xác định tất cả card trong máy và đọc các thông tin: Tên, địa chỉ IP và tốc độ, v v của tất cả các adapter. Ngoài ra, đếm số packet, byte, pps, bps đang sử dụng.

+ Sử dụng adapter đã chọn

Khi chọn một adapter thì khi đó ta sử dụng đồ thị để theo dõi lưu lượng sử dụng của adapter đó, bằng cách di chuyển chuột lên cửa sổ, chúng ta có thể kiểm tra lưu lượng .

2.4.2.1. Sử dụng bộ lọc

Nếu không kích hoạt bộ lọc, Colasoft Capsa sẽ bắt và phân tích tất cả các gói tin truyền qua card mạng của máy tính; do đó bộ lọc thật sự cần cần thiết để lọc các gói tin mà ta không cần quan tâm.

Một bộ lọc là một tập hợp các điều kiện đánh giá mà chương trình sử dụng để phù hợp với mỗi gói tin bị bắt. Nếu phù hợp với kết quả là dương tính, gói được chấp nhận và phân tích. Nếu khong phù hợp, chương trình sẽ bỏ qua nó. Trong Capsa, bạn có thể quản lý các bộ lọc của bạn thuận tiện và dễ dàng tạo một hình mới.

Để có thể sử dụng công cụ lọc, chúng ta mở hộp thoại Filter như sau: Nhấp vào biểu tượng Filter tại tab Analysis:

Hộp thoại Filter xuất hiện như sau:

Hộp thoại Filter được chia thành ba phần:

- Filter list : danh sách lọc hiển thị tất cả các bộ lọc bao gồm những bộ lọc do chính ta tạo ra. Có hai hộp checkbox để sự dụng cho tất cả các mục trong bộ lọc, với hộp checkbox người quản trị có thể cho phép gói dữ liệu nào cần theo dõi, hoặc bỏ qua tùy theo nhu cầu.

Chúng ta có thể click đúp vào bất kỳ mục nào trong mục danh sách lọc để mở hộp thoại Packet Filter để tùy chỉnh các bộ lọc riêng theo yêu cầu.

- Filter flow-chart: biểu đồ lọc sẽ được làm mới lại khi ta thực hiện bất kỳ một thay đổi nào tại danh sách lọc bên trái và lúc này ta sẽ thấy được cách các gói tin được xử lý khi Colasoft Capsa bắt chúng. Lúc này các gói tin phù hợp với điều kiện Accept

truyền qua cho giai đoạn tiếp theo, các gói tin phù hợp với điều kiện Reject sẽ bị bỏ đi.

-Buttons: Chúng ta có thể tìm thấy các nút sau đây dưới cùng của hộp thoại. Tất cả các nút được mô tả dưới đây:

+ Add: click vào đây để thêm một bộ lọc mới

+ Modify: Nhấn vào đây để chỉnh sửa bộ lọc với những yêu cầu riêng

+ Delete: Nhấn vào để xóa một một bộ lọc được lựa chọn

+ Import: Nhấn vào đây để tải lại bộ lọc được lưu trong một tập tin cscpfit *. Khi một tập tin bộ lọc nhập, tất cả các bộ lọc trong danh sách sẽ được thay thế.

+ Export: Nhấn vào đây để lưu tất cả các bộ lọc trong danh sách với một tập tin *. cscpfit.

+ Reset Default: Nhấn vào đây để thiết lập lại danh sách các bộ lọc. Tất cả các bộ lọc mà bạn tạo ra sẽ bị mất và các bộ lọc sẽ được thay thế ở chế độ mặc định

2.4.2.2. Các thông tin về hệ thống mạng

Network được thiết kế để lưu trữ các thuộc tính chung về các mạng khác nhau. Colasoft Capsa cho phép chúng ta lưu các thuộc tính phổ biến nhất được sử dụng, ví dụ: băng thông, cấu trúc hệ thống mạng, hệ thống cảnh báo.

Khi cài đặt Colasoft Capsa trên một máy tính xách tay và cần phải di chuyển giữa các phân đoạn mạng khác nhau, chúng ta nên lưu các thuộc tính của hệ thống mạng trong một hồ sơ mạng và gọi lại những thông tin này khi ta quay lại hệ thống mạng một lần nữa.

Tab Network Profile chứa các mục sau đây

- General Settings: chứa các mục

+ Profile Name: Tên về các profile mạng hiện tại.

+ Profile Description: mô tả ngắn gọn các thông tin về hệ thống mạng hiện tại được sử dụng

+ Bandwidth: thông tin về băng thông trong các phân đoạn mạng

- Network Group: được sử dụng để tùy chỉnh mạng, ta có thể chia địa chỉ IP và

địa chỉ MAC hiện tại thành các nhóm mạng khác nhau; vì vậy chúng ta có thể tiết kiệm được thời gian để khóa các host đang gặp vấn đề trong một nhóm.

Dựa trên mạng hiện tại, tất cả các nút IP và MAC có thể được định nghĩa thành các nhóm khác nhau mà ta sẽ xác định lưu lượng truyền trong mạng cục bộ.

- Name Table: được sử dụng để quản lý các alias về các địa chỉ IP, địa chỉ MAC

và các cổng trong ports trong mạng.

- Alarm Settings: cho phép ta quản lý tất cả các cảnh báo đã được tạo. Colasoft

Capsa thông báo cho cho chúng ta biết một hoạt động cụ thể đã vi phạm các quy tắc cảnh báo. Với chế độ đặt cảnh báo chúng ta có thể đối với những bất thường trong hệ thống mạng ngay từ đầu thay vì nhận thấy chúng khi đã bị thiệt hại nặng.

- Tab Summary: kết hợp với lựa chọn của trong cửa sổ Explorer Node, tab

Summary cung cấp các thông tin rút gọn. Khi chúng ta chọn root node, ta có thể nhận được các số liệu thống kê về hệ thống mạng, nếu chọn một node cụ thể, nó sẽ xuất hiện các thông tin cụ thể của node đó. Tab Summaryđược mô tả như sau:

2.4.2.3. Phân tích các thông tin trong hệ thống mạng

Quá trình phân tích các thông tin có được giúp chúng ta nâng cao hiệu quả sử dụng các thông tin đã được thống kê một cách hiệu quả.

Để mở Analysis Profile Options chúng ta làm như sau: - Trên Tab Analysis Profile ta nhấp vào Analysis Object:

Tại cửa sổ này, chúng ta có các thành phần như sau:

+ Analysis Object : thiết lập các đối tượng được phân tích, ví dụ: các giao thức, địa chỉ IP, địa chỉ vật lý,.. thiết lập chính xác các mục này sẽ giúp nâng cao hiệu quả sử dụng của chương trinh.

+ Packet Storage: giám sát lưu lượng truy cập trên mạng và lưu trữ các gói dữ liệu được phân tích vào bộ nhớ. Do đó, kích thước bộ đệm quyết định có bao nhiêu gói mà ta có thể nhìn thấy. Ta có thể thiết lập kích thước của bộ đệm dành riêng và cấu hình để lưu các gói được bắt lại vào đĩa.

2.4.2.4. Thiết lập nhật ký

Colasoft Capsa có thể phân tích và tạo các bản ghi lưu lượng tại tầng ứng dụng ví dụ: DNS, HTTP, Email, lưu lượng truy cập FTP, và theo dõi các tin nhắn MSN Messenger và Yahoo chat. Công cụ này cho phép chúng thiết lập để có được các bản ghi hữu ích hơn về các bản ghi lưu lượng truy cập. Để sử dụng công cụ này, ta nhấp chuột vào Log settings trên tab Analysis Profile.

- Khung bên trái liệt kê tất cả các loại bản ghi, chúng ta có thể bỏ chọn để vô hiệu hóa một số loại bản ghi theo nhu cầu của người quản trị.

- Khung bên phải: hiển thị các thiết lập của các loại bản ghi đã được đánh dấu trong khung bên trái.

- Colasoft Capsa có thể ghị lại các loại sau đây: + DNS Log

+ FTP log + HTTP Log + Email Log + MSN Log

+ Yahoo Messenger Log

2.4.2.5. Tạo biểu đồ cho hệ thống mạng

Colasoft Capsa cho phép bạn tạo các đồ thị một cách linh hoạt với bất kỳ host nào ta muốn; ví dụ như có một máy (IP: 192.168.137.150) và ta cần có một đồ thị về tổng lưu lượng của nó (bằng byte).

Chúng ta có thể tạo một biểu đồ mới bằng cách sau:

Trong cửa sổ Explorer Node Nhấp chuột vào trên thanh công cụ hoặc nhấp chuột phải vào bất kỳ node nào để tạo ra một đồ thị mới.

Hộp thoại lập biểu đồ có các mục sau đây:

+ Graph Name: tên biểu đồ, tên này có thể được tự động tạo ra hoặc ta có thể nhập một tên mới.

+ Graph Object: xác định biểu đồ được lập sẽ dựa trên đối tượng được chọn này (192.168.137.150)

+ Statistics Counter: danh sách tất cả các số liệu thống kê có sẵn + Counter Unit: đơn vị tính toán, ta nhấn vào để chọn đơn vị hiển thị. Sau cùng nhấp OK để hoàn thành việc thiết lập để tạo biểu đồ.

Tab Matrix

Với tab Matrix sẽ hiển thị số liệu thống kê lưu lượng truy cập trên hệ thống với một biểu đồ hình elip. Chúng có thể nhanh chóng chuyển đổi giữa các số liệu thống kê trên toàn mạng và số liệu chi tiết từng nút mạng bằng cách chuyển đổi giữa các cửa sổ Node Explore. Giao diệncuar tab Matrix như sau:

Khi di chuyển chuột lên một node mang, các đường kết nối giữa giữa các node sẽ được đánh dấu và in đậm. Một hộp đầu cho thấy các số liệu thống kê của nút này, một hột hộp thoại sẽ hiển thị các số liệu thống kê của node này.

Việc xem matrix sẽ giúp chúng ta có được các thông tin sau: + Tất cả các node trong hệ thống mạng.

+ Các giao tiếp trong hệ thống được hiển thị với địa chỉ MAC + Các giao tiếp trong hệ thống được hiển thị với địa chỉ IP + Các thông tin về các gói tin đã được gởi và nhận tại node đó …

2.4.2.6. Phát hiện các cuộc tấn công ARP

ARP là một trong những cuộc tấn công phổ biến nhất trong những ngày gần đây, nó có thể gây ra vấn đề nghiêm trọng cho hệ thống của chúng ta. Làm thế nào để nhanh chóng khắc phục sự cố các cuộc tấn công ARP là những gì cần phải quan tâm trong vấn đề quản lý mạng. Colasoft Capsa sẽ nâng cao đáng kể năng lực quản trị để xác định các cuộc tấn công ARP và bảo vệ hệ thống mạng thoát khỏi các cuộc tấn công ARP, để đảm bảo hệ thống hoạt động bình thường.

Với Colasoft Capsa, chúng ta có thể xác định nguồn gốc của cuộc tấn công nhanh chóng và chính xác khi có bất kỳ cuộc tấn công ARP xảy ra với hệ thống mạng của chúng ta.

Chúng ta có bốn giải pháp cơ bản để xác định vị trí tấn công ARP với Colasoft Capsa:

Giải pháp 1: tại tab Diagnosis là nơi để xác định vị trí tấn công ARP trực tiếp

và hiệu quả nhất. Giao diện của nó được hiển thị như hình bên dưới:

Trong hình trên chỉ ra rằng có hai trường hợp tấn công ARP.

Giải pháp 2: các trạng thái của gói tin ARP được hiển thị trong tab Protocol. Ở

đây chúng ta phải chú ý đặc biệt với giá trị của ARP Request và ARP Response, tỷ lệ giữa hai giá trị này yêu cầu khoảng 1:1 . Nếu có sự khác biệt quá lớn giữa hai giá trị, có thể có cuộc tấn công ARP trong hệ thống mạng.

Giải pháp 3: giải mã thông tin trong tab Packet, có thể nói cho chúng ta biết

những thông tin ban đầu của gói tin ARP. Với cách giải mã các gói tin ARP, chúng ta có thể tìm ra nguồn gốc và điểm đến của các gói ARP.

Giải pháp 4: Xác định các cuộc tấn công ARP trong tab Physical Endpoint

Trong tab Physical Endpoint chúng ta có thể thấy sự tương quan của địa chỉ MAC và địa chỉ IP. Nói chung, một địa chỉ MAC thì chỉ có một địa chỉ IP tương ứng với nó. Nếu một địa chỉ MAC có nhiều địa chỉ IP cho nó, điều kiện có thể là:

- Các host có địa chỉ MAC là gateway

- Những địa chỉ IP này được liên kết với các địa chỉ MAC một cách thủ công. - Có thể là tấn công ARP

Do đó tab Physical Endpoint cũng có thể cho chúng ta một gợi ý để xác định vị trí tấn công ARP.

2.4.2.7. Phát hiện Trojan và Worm với Capsa Network Analyzer

Hầu như tất cả các Trojans và worms cần truy cập vào mạng, bởi vì chúng có thể gửi dữ liệu ra ngoài cho hacker. Chỉ có các dữ liệu hữu ích sẽ được gửi đến cho Hacker, như vậy Trojan đã thực hiện được sứ mệnh của mình. Vì vậy, cần phải có một giải pháp tốt để hạn chế những mối nguy hiểm này. Chúng ta sẽ phát hiện Trojan và worms với sự giúp đỡ của một bộ phân tích Colasoft Capsa network.

Có một số giải pháp để tìm ra dấu vết của một Trojan hoặc worms trong hệ thống mạng.

Giải pháp 1: sử dụng tab Summary

Chúng ta nên tập trung trên bản tóm tắt gói TCP, ta cần phải được cảnh báo khi TCP SYN đã gửi số lớn hơn nhiều so TCP SYN ACK số đã gửi. Thông thường tỷ lệ hai con số khoảng bằng 1:1. Trojans và worms luôn luôn gửi số lượng lớn các gói tin

TCP SYN đến mạng và cố gắng để thiết lập kết nối với các máy khác. Khi một kết nối được thiết lập, chúng tìm cách thâm nhập vào máy tính mục tiêu.

Giải pháp 2: Sử dụng Tab Worm để phát hiện

Xây dựng các quy tắc bộ lọc với các mẫu của một số Trojans và worms. Cho đến khi chúng gửi ra gói tin, chúng ta sẽ có được những Trojans và worms đang hoạt động. Phương pháp này có nhược điểm làm không làm gì được với một Trojan hoặc worms mới.

KẾT LUẬN

Trong phần trình bày của đồ án này đã đưa ra những khái niệm cơ bản nhất về quản trị hệ thống mạng ; đây là một vấn đề rất được quan tâm và phát triển trong lĩnh vực CNTT. Trong đó đề cập đến vấn đề quản trị mạng với giao thức SNMP. Giao thức này ngày càng phát triển và trở thành một công cụ đắt lực trong quản lý hệ thống mạng.

Cũng trong phạm vi đồ án này, nhóm 9 đã tìm hiểu về phần mềm phân tích hệ thống mạng Colasoft Capsa , đây là phần mềm tương đối dễ dùng, nhiều chức năng giám sát đặc biệt là giám sát lưu lượng trong hệ thống mạng. Mặc dù chương trình có rất nhiều chức năng để có thể phân tích một cách toàn diện hệ thống, tuy nhiên với phạm vi đồ án môn học và vốn kiến thức hiện có thì nhóm chưa đủ khả năng tìm hiểu tất cả những tính năng và sử dụng thật tốt phần mềm này. Do đó nhóm đã đề ra mục tiêu trong tương lai gần là phải làm chủ được phần mềm Colasoft Capsa và sẽ tìm hiểu thêm những công cụ quản lý khác để có thể hiểu rõ hơn những nội dung đã được học tại trường và phục vụ tốt cho công việc sau này./.

TÀI LIỆU THAM KHẢO

[1] ThS. Nguyễn Văn Đát, TS. Nguyễn Tiến Ban, ThS. Dương Anh Tú, ThS. Nguyễn Thị Thu Hằng, KS Lê Kỹ Đạt (2007) - Quản lý mạng viễn thông , Học viện bưu chính viễn thông.

[2] Diệp Thanh Nguyên (2010) - SNMP toàn tập [3] Computer network manager E.C Rosen, 2002

Một phần của tài liệu Giám sát hệ thống mạng với phần mềm Colasoft Capsa (Trang 31)

Tải bản đầy đủ (DOC)

(47 trang)
w