1 Kiểu của các thông báo trong SSL Handshake Protocol

Một phần của tài liệu (LUẬN văn THẠC sĩ) nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng luận văn ths công nghệ thông tin 60 48 15 (Trang 64)

Trong các pha của quá trình hoạt động của Handshake Protocol ở hình 3.8:

 Pha 1: Thiết lập khả năng bảo mật, đƣa ra phiên bản SSL đang sử dụng, Định danh đƣợc chọn bởi server để nhận dạng một trạng thái session hoạt động hoặc có thể tiếp tục lại, dữ liệu đƣợc mã hóa, phƣơng thức nén và số đƣợc sinh ra ngẫu nhiên đầu tiên.

 Pha 2: Server có thể gửi chứng thực, trao đổi khóa và yêu cầu chứng thực. Server đƣa ra tín hiệu cuối của pha gửi thông báo hello.

 Pha 3: Client gửi chứng thực nếu có yêu cầu, Client gửi trao đổi khóa. Client có thể gửi xác minh chứng thực đó.

3.2.4. Kết luận chƣơng 3

Cùng với sự phát triển vƣợt bậc trong hệ thống mạng thì bất kỳ một mô hình bảo mật trong mô hình quản trị mạng nào cũng không tránh khỏi sự tấn công, xâm nhập bất hợp pháp của kẻ khác. Trong mô hình quản trị mạng dựa trên nền web vấn đề bảo mật của nó chủ yếu là dựa trên xác thực và mã hóa kết nối của giao thức SSL.

Xác thực Server: Cho phép client xác thực đƣợc server muốn kết nối. Web browser sử dụng các kỹ thuật mã hoá công khai để chắc chắn rằng certificate và public ID của server là có giá trị và đƣợc cấp phát bởi một CA (certificate authority) trong danh sách các CA đáng tin cậy của client.

Xác thực Client: Cho phép phía server xác thực đƣợc client muốn kết nối. Phía server cũng sử dụng các kỹ thuật mã hoá công khai để kiểm tra xem certificate và public ID của client có giá trị hay không và đƣợc cấp phát bởi một CA (certificate authority) trong danh sách các CA đáng tin cậy của server không.

Mã hoá kết nối: Tất cả các thông tin trao đổi giữa client và server đƣợc mã hoá trên đƣờng truyền nhằm nâng cao khả năng bảo mật. Điều này rất quan trọng đối với cả hai bên khi có các giao dịch mang tính riêng tƣ. Ngoài ra, tất cả các dữ liệu đƣợc gửi đi trên một kết nối SSL đã đƣợc mã hoá còn đƣợc bảo vệ nhờ cơ chế tự động phát hiện các xáo trộn, thay đổi trong dữ liệu.

Tuy mô hình bảo mật trong quản trị mạng dựa trên nền web có nhiều ƣu điểm nhƣng vẫn không tránh khỏi những cuộc tấn công có chủ định để đánh cắp, phá hoại thông tin. Trong tƣơng lai chúng ta có thể xây dựng hoặc sử dụng kết hợp nhiều giao thức bảo mật vào việc quản trị mạng dựa trên nền web.

Việc quản trị và bảo mật trong mô hình quản trị mạng đƣợc minh họa cụ thể bằng cách mô tả một chƣơng trình quản trị mạng ở chƣơng tiếp sau đây.

CHƢƠNG 4: BẢO ĐẢM AN NINH CHO HỆ THỐNG QUẢN TRỊ MẠNG MÃ NGUỒN MỞ CACTI

Với sự phát triển của các mạng máy tính thì chúng ta có thể sử dụng rất nhiều chƣơng trình để quản trị nhƣ PRTG Network Monitor, HP openView,Cacti… Nhƣng chƣơng trình quản trị mã nguồn mở Cacti là dễ sử dụng và hiệu quả khá cao, cacti dùng để quản trị mạng, cụ thể nó theo dõi các thiết bị mạng và theo dõi tình trạng của máy chủ và đƣa ra các phân tích, cảnh báo…để ngƣời quản trị mạng có thể quản trị tốt hơn.

4.1. Hệ thống quản trị mạng cacti

Sau khi cài đặt xong cacti chúng ta chạy http://localhost/cacti trên các trình duyệt web, sau đó đăng nhập và sẽ thực hiện quản trị mạng bằng cacti.

Hình 4.1 – Cửa sổ đăng nhập của cacti sau khi cài đặt

Khi xuất hiện cửa sổ đăng nhập trên cacti đã mặc định User Name và Passwordadmin. Chúng ta có thể đổi lại Password bằng cách thiết lập

Password mới và Save lại nhƣ hộp thoại dƣới.

Phần cài đặt và thực hiện quản trị mạng bằng cacti nhƣ thế nào đƣợc trình bày ở trong các phần sau.

4.1.1. Kiến trúc tổng thể hệ thống quản trị mạng cacti

Hình 4.2 – Giao diện của chương trình cacti

 Các thành phần cơ bản của cacti

- Console: Cài đặt các thông số và các tùy chọn:

+ Create: Tạo mới các thông tin nhƣ thêm các thiết bị mới device hay tạo graphs mới.

+ Management: Quản lý graph, graph trees, data sources, devices. + Collection Methods: Tạo dữ liệu truy vấn và nhập dữ liệu theo nhóm quản lý.

+ Templates: Sử dụng graph, host và dữ liệu theo mẫu có sẵn. + Import/Export: Đƣa vào và xuất bản theo mẫu.

+ Configuration: Thiết lập các giá trị của các thiết bị quản trị.

+ Utilities: Tạo mới, copy, xóa, kết nối, thay đổi… quyền truy cập cho ngƣời dùng.

- Graphs: Hiển thị graphs khi quản trị thiết bị

 Các chức năng cơ bản của cacti

- Theo dõi tình trạng của máy chủ server - Theo dõi tình trạng của các máy client

- Theo dõi các thông số của các thiết bị trong mạng

- Đƣa ra thông báo về tình trạng của mạng … thông qua graphs

4.1.2. Giải pháp an ninh trong hệ thống quản trị mạng của Cacti

Trong phần này chủ yếu nhấn mạnh về vấn đề an ninh trong việc quản trị các thiết bị SNMP và các cơ chế kiểm soát an ninh trong hệ thống quản trị dựa trên web này.

 Các thiết bị có hỗ trợ SNMP thì đƣợc hỗ trợ an ninh theo SNMP. SNMPv3 sẽ đƣợc hỗ trợ dựa trên xác thực và mã hóa. Các mục đƣợc xác thực và đƣợc mã hóa là: SNMP Username, SNMP Password, SNMP Auth Protocol, SNMP Privacy Passphrase, SNMP Privacy Protocol, SNMP Context. Việc mô tả chức năng xác thực hay mã hóa của các trƣờng trên sẽ đƣợc trình bày trong bảng 4.1.

Trƣờng Mô tả Security Options for SNMPv3

SNMP Username Tên sử dụng của thiết bị (hỗ trợ SNMPv3) để trao đổi thông báo SNMPv3

SNMP Password Các cụm từ mật khẩu xác thực của một thông báo SNMPv3 SNMP Auth

Protocol

Các giao thức chứng thực của một thông báo SNMPv3. Chọn MD5 hoặc SHA. Mục nhập này mặc định là MD5

SNMP Privacy

Passphrase Các cụm từ mật khẩu bí mật của một thông báo SNMPv3

SNMP Privacy Protocol

Các giao thức bảo mật của một thông báo SNMPv3. Chọn một trong hai DES hay AES. Mục nhập này mặc định là DES

SNMP Context

Khi sử dụng các View-Based Access Control Model (VACM), nó có thể xác định một bối cảnh SNMP khi lập bản đồ, có một tên cộng đồng, một tên an ninh với nhóm chỉ thị và chỉ thị tiếp cận

Bảng 4.1 – Các trường trong SNMPv3 được hỗ trợ bảo mật và xác thực trong cacti

SNMP hỗ trợ tính năng xác thực và mã hóa khi sử dụng giao thức SNMPv3 đƣợc gọi là View-Based Access Control Model (VACM). Điều này đòi hỏi, rằng thiết bị hỗ trợ mục tiêu trong câu hỏi và đƣợc cấu hình để sử dụng SNMPv3. Nhìn chung, cấu hình các tùy chọn V3 là phụ thuộc loại mục tiêu. Sau đây là trích dẫn snmp.conf liên quan đến định nghĩa của ngƣời sử dụng.

[ SNMPv3 Users

createUser [-e ENGINEID] username (MD5|SHA) authpassphrase [DES|AES] [privpassphrase]

+ MD5 và SHA là các loại chứng thực để sử dụng, DES và AES là bí mật để các giao thức sử dụng. Nếu cụm từ mật khẩu bảo mật không đƣợc chỉ định thì đó là giả định để đƣợc giống nhƣ cụm từ mật khẩu xác thực. Ngƣời dùng tạo ra cụm từ mật khẩu sẽ vô dụng trừ khi họ thêm vào bảng điều khiển truy cập VACM.

+ SHA xác thực và bảo mật DES/AES yêu cầu OpenSSL phải đƣợc cài đặt và Agent sẽ đƣợc xây dựng với hỗ trợ OpenSSL. MD5 xác thực có thể đƣợc sử dụng mà không cần OpenSSL.

Chú ý: Các cụm từ thông qua chiều dài tối thiểu là 8 ký tự. ] Chỉ thị VACM đƣợc giải thích từ snmpd.conf nhƣ sau:

[ VACM Configuration

Tính linh động của VACM có sẵn bằng cách sử dụng bốn chỉ thị cấu hình - com2sec, group, view và access. Cung cấp các cấu hình trực tiếp cơ bản của bảng VACM.

+ com2sec [-Cn CONTEXT] SECNAME SOURCE COMMUNITY + group GROUP {v1|v2c|usm} SECNAME

+ view VNAME TYPE OID [MASK]

+ access GROUP CONTEXT {any|v1|v2c|usm} LEVEL PREFX READ WRITE NOTIFY ]

Hình 4.4 – Các thông số xác thực và mã hóa trong SNMPv3 trong quan trị bằng cacti cacti

Hình 4.5 – Mô phỏng quá trình bảo mật và xác thực trên cacti với SNMPv1

Trong hình 4.4 đã minh họa các mục trong SNMPv3 đƣợc cacti thực hiện xác thực và mã hóa dựa trên nguyên lý chung của việc xác thực mã hóa SNMPv3 mà chúng ta đã nghiên cứu ở chƣơng 2.

 Cacti là chƣơng trình quản trị mạng mã nguồn mở dựa trên nền web nên chúng đƣợc xác thực theo nguyên lý đảm bảo an toàn trong quản trị mạng dựa trên nền web mà chúng ta đã nghiên cứu ở luận văn trong chƣơng 3.

Ở trong cacti cơ chế xác thực chung là dựa trên xác thực SSL, đƣợc mô phỏng trên hình 4.6.

Hình 4.6 – Cơ chế xác thực dựa trên SSL

Trong cacti là sự phối hợp rất nhiều giao thức, kết hợp của nhiều thiết bị mạng. Mỗi thiết bị mạng lại có các cơ chế bảo mật, xác thực khác nhau. Có sự kết hợp của nhiều loại an ninh nhƣ an ninh của các thiết bị SNMP, an ninh của các cơ sở dữ liệu, an ninh của web…Trong phần này chỉ mô phỏng 2 loại an ninh điển hình mà ta đã ngiên cứu ở chƣơng 2 và chƣơng 3, đó là an ninh của SNMPv3, và an ninh của quản trị dựa trên nền web với SSL.

4.2. Quản trị mạng với cacti

4.2.1. Cài đạt Cacti trên Linux (Ubuntu 9.10)

- Bƣớc 1: Trên cửa sổ Terminal nhập lệnh sudo apt-get install php5 php5-gd php5-mysql, sau đó Enter để thực hiện cài đặt PHP, Mysql.

Hình 4.7 – Cài đặt cacti trên Ubuntu 9.10

- Bƣớc 2: Sau khi cài xong PHP và Musql ta nhập lệnh sudo apt-get install cacti-spine để cài đặt cacti.

- Bƣớc 3: Lựa chọn cài đặt theo hƣớng dẫn

+ Sau khi cài đặt cacti sẽ xuất hiện thông báo mô tả đƣờng dẫn của php nhƣ hình dƣới và chúng ta chỉ việc chọn OK để tiếp tục.

Hình 4.8 – Chọn đường dẫn của php

+ Khi xuất hiện thông báo tiếp chúng ta chọn Apache2 và chọn OK để tiếp tục.

Hình 4.9 – Cài đặt Apache2

Hình 4.10 – Cấu hình cơ sở dữ liệu cho cacti

+ Nhập mật khẩu chính cho cơ sở dữ liệu

Hình 4.11 – Xác định mật khẩu cho database

+ Nhập mật khẩu cho Mysql của cacti

Hình 4.12 – Xác nhập mật khẩu cho Mysql

+ Xác lập lại mật khẩu trên

Hình 4.13 – Xác lập lại mật khẩu cho Mysql

- Bƣớc 4: Cấu hình Cacti

Sau khi cài đặt xong cacti chúng ta chạy http://localhost/cacti trên các trình duyệt web và phải thiết lập lại các thông số sau:

Hình 4.14 – Cài đặt chỉ dẫn 1

Hình 4.15 - Cài đặt chỉ dẫn 2

Hình 4.16 – Hoàn thiện chỉ dẫn

Hình 4.17 – Hộp thoại đăng nhập

+ Khi xuất hiện cửa sổ đăng nhập trên cacti đã mặc định User Name và Passwordadmin. Chúng ta có thể đỏi lại Password bằng cách thiết lập

Password mới và Save lại nhƣ họp thoại dƣới.

Hình 4.18 – Xác nhập lại password đange nhập

+ Xuất hiện giao diện của cacti

Hình 4.19 – Giao diện cacti sau khi cài đặt

Hình 4.20 – Thiết lập1 lại settings cho cacti

Hình 4.21 – Thiết lập 2 lại settings cho cacti

4.2.2. Quản trị với cacti

Creating a Device for Network

- Chọn menu Device và bấm chọn add để thêm một thiết bị mới cần giám sát vào dữ liệu của cacti.

Hình 4.22 – Thêm thiết bị mới cần giám sát cho cacti

- Một thiết bị mới đƣợc thêm vào cacti quy định cụ thể chi tiết quan trọng nhƣ tên máy mạng, thông số SNMP, và loại hình sở tại. Hình 4.23 mô tả việc cấu hình thiết bị thêm vào cho cacti.

- Sau đó chúng ta chọn những dữ liệu mà chúng ta cần theo dõi và add vào danh sách và save lại để hoàn tất quá trình thêm thiết bị mới cho cacti.

Hình 4.24 – Chọn dữ liệu cần theo dõi trong quá trình thêm thiết bị mới cho cacti

Creating the graphs

- Sau khi tạo xong New Device chúng ta bấm chọn Creat Graph for this Host để tạo Graph cho những dữ liệu thu thập đƣợc của các thiết bị thêm vào này. Chúng ta chỉ nên chọn dữ liệu thông số thiết bị nào mà chúng ta cần quan tâm để tạo Graph cho chúng thôi.

Hình 4.25 – Chọn dữ liệu để tạo graph cho thiết bị

Hình 4.26 – Hoàn tất quá trình thêm máy trạm vào danh sách thu thập của cacti

Sau khi hoàn tất quá trình thêm thiết bị và tạo graphs cho các thiết bị cần cacti theo dõi chúng ta chọn sang mục Graph để xem kết quả và đọc các thông số cacti báo cáo.

KẾT LUẬN

Kết quả nghiên cứu

Cùng với sự phát triển nhanh của Internet và các hệ thống mạng thì việc quản trị mạng càng gặp nhiều khó khăn. Các phƣơng thức quản trị mạng truyền thống còn có nhiều hạn chế nhƣ: chƣa quản trị tốt các thiết bị, chƣa có những đánh giá báo cáo tình trạng của toàn hệ thống mạng cho ngƣời quản trị biết…Và đặc biệt là vấn đề an ninh, các thông báo trao đổi giữa server và client dễ bị tấn công làm tê liệt hệ thống. Việc đảm bảo đƣợc an toàn trong quản trị mạng là một điều rất khó khăn.

Mỗi phƣơng thức quản trị mạng đều có những hạn chế riêng trong việc đảm bảo an toàn cho các thông điệp khi lƣu thông trên mạng. Trong tƣơng lai việc quản trị mạng sẽ dễ dàng hơn, vấn đề an ninh trong nó sẽ đƣợc giải quyết triệt để hơn nhờ có những cơ chế an ninh của SNMPv3 và cơ chế an ninh của phƣơng thức quản trị mạng dựa trên nền web.

Các kết quả của luận văn này đạt đƣợc đó là đã nghiên cứu trên cơ sở lý thuyết của việc quản trị mạng và an ninh trên Internet.

Qua nghiên cứu về an ninh trong quản trị mạng SNMPv3 chúng ta nhận ra sử dụng mô hình “Mô hình bảo mật dựa trên ngƣời dùng USM” và “Kiểm soát truy nhập VACM” thì các thông báo đƣợc truyền đi trên mạng là an toàn.

Trong mô hình quản trị mạng dựa trên nền web vấn đề bảo mật chủ yếu là dựa trên xác thực và mã hóa kết nối của giao thức SSL. Sử dụng các cơ chế “Xác thực server”, “Xác thực client” và “Mã hóa kết nối” thì vấn đề đảm bảo an ninh cho các thông báo khi truyền đã đƣợc giải quyết.

Đƣa ra các ƣu điểm và nhƣợc điểm của từng mô hình quản trị, từ đó ngƣời dùng có thể lựa chọn mô hình quản trị mạng nào tốt nhất và an toàn nhất để phục vụ cho công việc quản trị của mình.

Phƣơng hƣớng nghiên cứu tiếp theo

Trên cơ sở những kết quả đạt đƣợc chúng tôi dự kiến tiếp tục nghiên cứu những vấn đề sau:

+ Nghiên cứu việc đƣa vấn đề xác thực và mã hóa bằng SSL vào các thiết bị quản trị SNMPv3.

+ Nghiên cứu đƣa USM và VACM vào kết hợp cùng với SSL để đảm bảo cơ chế an ninh trong quản trị mạng dựa trên nền web.

+ Nghiên cứu về vấn đề an ninh trong quản trị mạng dựa trên XML.

+ Nghiên cứu kết hợp các phƣơng thức an ninh khác nhau vào an ninh của quản trị mạng bằng XML.

Mặc dù đã rất cố gắng trong nghiên cứu thực hiện đề tài nhƣng do thời gian có hạn nên không tránh khỏi còn nhiều thiếu sót. Cuối cùng, một lần nữa, tôi xin chân thành cảm ơn sự tận tình hƣớng dẫn, chỉ bảo của Phó Giáo Sƣ, Tiến Sỹ

Một phần của tài liệu (LUẬN văn THẠC sĩ) nghiên cứu giải pháp an ninh trong một số kiến trúc quản trị mạng luận văn ths công nghệ thông tin 60 48 15 (Trang 64)

Tải bản đầy đủ (PDF)

(89 trang)