Khi xuất hiện cửa sổ đăng nhập trên cacti đã mặc định User Name và Password là admin. Chúng ta có thể đổi lại Password bằng cách thiết lập
Password mới và Save lại nhƣ hộp thoại dƣới.
Phần cài đặt và thực hiện quản trị mạng bằng cacti nhƣ thế nào đƣợc trình bày ở trong các phần sau.
4.1.1. Kiến trúc tổng thể hệ thống quản trị mạng cacti
Hình 4.2 – Giao diện của chương trình cacti
Các thành phần cơ bản của cacti
- Console: Cài đặt các thông số và các tùy chọn:
+ Create: Tạo mới các thông tin nhƣ thêm các thiết bị mới device hay tạo graphs mới.
+ Management: Quản lý graph, graph trees, data sources, devices. + Collection Methods: Tạo dữ liệu truy vấn và nhập dữ liệu theo nhóm quản lý.
+ Templates: Sử dụng graph, host và dữ liệu theo mẫu có sẵn. + Import/Export: Đƣa vào và xuất bản theo mẫu.
+ Configuration: Thiết lập các giá trị của các thiết bị quản trị.
+ Utilities: Tạo mới, copy, xóa, kết nối, thay đổi… quyền truy cập cho ngƣời dùng.
- Graphs: Hiển thị graphs khi quản trị thiết bị
Các chức năng cơ bản của cacti
- Theo dõi tình trạng của máy chủ server - Theo dõi tình trạng của các máy client
- Theo dõi các thông số của các thiết bị trong mạng
- Đƣa ra thông báo về tình trạng của mạng … thông qua graphs
4.1.2. Giải pháp an ninh trong hệ thống quản trị mạng của Cacti
Trong phần này chủ yếu nhấn mạnh về vấn đề an ninh trong việc quản trị các thiết bị SNMP và các cơ chế kiểm soát an ninh trong hệ thống quản trị dựa trên web này.
Các thiết bị có hỗ trợ SNMP thì đƣợc hỗ trợ an ninh theo SNMP. SNMPv3 sẽ đƣợc hỗ trợ dựa trên xác thực và mã hóa. Các mục đƣợc xác thực và đƣợc mã hóa là: SNMP Username, SNMP Password, SNMP Auth Protocol, SNMP Privacy Passphrase, SNMP Privacy Protocol, SNMP Context. Việc mô tả chức năng xác thực hay mã hóa của các trƣờng trên sẽ đƣợc trình bày trong bảng 4.1.
Trƣờng Mô tả Security Options for SNMPv3
SNMP Username Tên sử dụng của thiết bị (hỗ trợ SNMPv3) để trao đổi thông báo SNMPv3
SNMP Password Các cụm từ mật khẩu xác thực của một thông báo SNMPv3 SNMP Auth
Protocol
Các giao thức chứng thực của một thông báo SNMPv3. Chọn MD5 hoặc SHA. Mục nhập này mặc định là MD5
SNMP Privacy
Passphrase Các cụm từ mật khẩu bí mật của một thông báo SNMPv3
SNMP Privacy Protocol
Các giao thức bảo mật của một thông báo SNMPv3. Chọn một trong hai DES hay AES. Mục nhập này mặc định là DES
SNMP Context
Khi sử dụng các View-Based Access Control Model (VACM), nó có thể xác định một bối cảnh SNMP khi lập bản đồ, có một tên cộng đồng, một tên an ninh với nhóm chỉ thị và chỉ thị tiếp cận
Bảng 4.1 – Các trường trong SNMPv3 được hỗ trợ bảo mật và xác thực trong cacti
SNMP hỗ trợ tính năng xác thực và mã hóa khi sử dụng giao thức SNMPv3 đƣợc gọi là View-Based Access Control Model (VACM). Điều này đòi hỏi, rằng thiết bị hỗ trợ mục tiêu trong câu hỏi và đƣợc cấu hình để sử dụng SNMPv3. Nhìn chung, cấu hình các tùy chọn V3 là phụ thuộc loại mục tiêu. Sau đây là trích dẫn snmp.conf liên quan đến định nghĩa của ngƣời sử dụng.
[ SNMPv3 Users
createUser [-e ENGINEID] username (MD5|SHA) authpassphrase [DES|AES] [privpassphrase]
+ MD5 và SHA là các loại chứng thực để sử dụng, DES và AES là bí mật để các giao thức sử dụng. Nếu cụm từ mật khẩu bảo mật không đƣợc chỉ định thì đó là giả định để đƣợc giống nhƣ cụm từ mật khẩu xác thực. Ngƣời dùng tạo ra cụm từ mật khẩu sẽ vô dụng trừ khi họ thêm vào bảng điều khiển truy cập VACM.
+ SHA xác thực và bảo mật DES/AES yêu cầu OpenSSL phải đƣợc cài đặt và Agent sẽ đƣợc xây dựng với hỗ trợ OpenSSL. MD5 xác thực có thể đƣợc sử dụng mà không cần OpenSSL.
Chú ý: Các cụm từ thông qua chiều dài tối thiểu là 8 ký tự. ] Chỉ thị VACM đƣợc giải thích từ snmpd.conf nhƣ sau:
[ VACM Configuration
Tính linh động của VACM có sẵn bằng cách sử dụng bốn chỉ thị cấu hình - com2sec, group, view và access. Cung cấp các cấu hình trực tiếp cơ bản của bảng VACM.
+ com2sec [-Cn CONTEXT] SECNAME SOURCE COMMUNITY + group GROUP {v1|v2c|usm} SECNAME
+ view VNAME TYPE OID [MASK]
+ access GROUP CONTEXT {any|v1|v2c|usm} LEVEL PREFX READ WRITE NOTIFY ]
Hình 4.4 – Các thông số xác thực và mã hóa trong SNMPv3 trong quan trị bằng cacti cacti
Hình 4.5 – Mô phỏng quá trình bảo mật và xác thực trên cacti với SNMPv1
Trong hình 4.4 đã minh họa các mục trong SNMPv3 đƣợc cacti thực hiện xác thực và mã hóa dựa trên nguyên lý chung của việc xác thực mã hóa SNMPv3 mà chúng ta đã nghiên cứu ở chƣơng 2.
Cacti là chƣơng trình quản trị mạng mã nguồn mở dựa trên nền web nên chúng đƣợc xác thực theo nguyên lý đảm bảo an toàn trong quản trị mạng dựa trên nền web mà chúng ta đã nghiên cứu ở luận văn trong chƣơng 3.
Ở trong cacti cơ chế xác thực chung là dựa trên xác thực SSL, đƣợc mô phỏng trên hình 4.6.
Hình 4.6 – Cơ chế xác thực dựa trên SSL
Trong cacti là sự phối hợp rất nhiều giao thức, kết hợp của nhiều thiết bị mạng. Mỗi thiết bị mạng lại có các cơ chế bảo mật, xác thực khác nhau. Có sự kết hợp của nhiều loại an ninh nhƣ an ninh của các thiết bị SNMP, an ninh của các cơ sở dữ liệu, an ninh của web…Trong phần này chỉ mô phỏng 2 loại an ninh điển hình mà ta đã ngiên cứu ở chƣơng 2 và chƣơng 3, đó là an ninh của SNMPv3, và an ninh của quản trị dựa trên nền web với SSL.
4.2. Quản trị mạng với cacti
4.2.1. Cài đạt Cacti trên Linux (Ubuntu 9.10)
- Bƣớc 1: Trên cửa sổ Terminal nhập lệnh sudo apt-get install php5 php5-gd php5-mysql, sau đó Enter để thực hiện cài đặt PHP, Mysql.
Hình 4.7 – Cài đặt cacti trên Ubuntu 9.10
- Bƣớc 2: Sau khi cài xong PHP và Musql ta nhập lệnh sudo apt-get install cacti-spine để cài đặt cacti.
- Bƣớc 3: Lựa chọn cài đặt theo hƣớng dẫn
+ Sau khi cài đặt cacti sẽ xuất hiện thông báo mô tả đƣờng dẫn của php nhƣ hình dƣới và chúng ta chỉ việc chọn OK để tiếp tục.
Hình 4.8 – Chọn đường dẫn của php
+ Khi xuất hiện thông báo tiếp chúng ta chọn Apache2 và chọn OK để tiếp tục.
Hình 4.9 – Cài đặt Apache2
Hình 4.10 – Cấu hình cơ sở dữ liệu cho cacti
+ Nhập mật khẩu chính cho cơ sở dữ liệu
Hình 4.11 – Xác định mật khẩu cho database
+ Nhập mật khẩu cho Mysql của cacti
Hình 4.12 – Xác nhập mật khẩu cho Mysql
+ Xác lập lại mật khẩu trên
Hình 4.13 – Xác lập lại mật khẩu cho Mysql
- Bƣớc 4: Cấu hình Cacti
Sau khi cài đặt xong cacti chúng ta chạy http://localhost/cacti trên các trình duyệt web và phải thiết lập lại các thông số sau:
Hình 4.14 – Cài đặt chỉ dẫn 1
Hình 4.15 - Cài đặt chỉ dẫn 2
Hình 4.16 – Hoàn thiện chỉ dẫn
Hình 4.17 – Hộp thoại đăng nhập
+ Khi xuất hiện cửa sổ đăng nhập trên cacti đã mặc định User Name và Password là admin. Chúng ta có thể đỏi lại Password bằng cách thiết lập
Password mới và Save lại nhƣ họp thoại dƣới.
Hình 4.18 – Xác nhập lại password đange nhập
+ Xuất hiện giao diện của cacti
Hình 4.19 – Giao diện cacti sau khi cài đặt
Hình 4.20 – Thiết lập1 lại settings cho cacti
Hình 4.21 – Thiết lập 2 lại settings cho cacti
4.2.2. Quản trị với cacti
Creating a Device for Network
- Chọn menu Device và bấm chọn add để thêm một thiết bị mới cần giám sát vào dữ liệu của cacti.
Hình 4.22 – Thêm thiết bị mới cần giám sát cho cacti
- Một thiết bị mới đƣợc thêm vào cacti quy định cụ thể chi tiết quan trọng nhƣ tên máy mạng, thông số SNMP, và loại hình sở tại. Hình 4.23 mô tả việc cấu hình thiết bị thêm vào cho cacti.
- Sau đó chúng ta chọn những dữ liệu mà chúng ta cần theo dõi và add vào danh sách và save lại để hoàn tất quá trình thêm thiết bị mới cho cacti.
Hình 4.24 – Chọn dữ liệu cần theo dõi trong quá trình thêm thiết bị mới cho cacti
Creating the graphs
- Sau khi tạo xong New Device chúng ta bấm chọn Creat Graph for this Host để tạo Graph cho những dữ liệu thu thập đƣợc của các thiết bị thêm vào này. Chúng ta chỉ nên chọn dữ liệu thông số thiết bị nào mà chúng ta cần quan tâm để tạo Graph cho chúng thôi.
Hình 4.25 – Chọn dữ liệu để tạo graph cho thiết bị
Hình 4.26 – Hoàn tất quá trình thêm máy trạm vào danh sách thu thập của cacti
Sau khi hoàn tất quá trình thêm thiết bị và tạo graphs cho các thiết bị cần cacti theo dõi chúng ta chọn sang mục Graph để xem kết quả và đọc các thông số cacti báo cáo.
KẾT LUẬN
Kết quả nghiên cứu
Cùng với sự phát triển nhanh của Internet và các hệ thống mạng thì việc quản trị mạng càng gặp nhiều khó khăn. Các phƣơng thức quản trị mạng truyền thống còn có nhiều hạn chế nhƣ: chƣa quản trị tốt các thiết bị, chƣa có những đánh giá báo cáo tình trạng của toàn hệ thống mạng cho ngƣời quản trị biết…Và đặc biệt là vấn đề an ninh, các thông báo trao đổi giữa server và client dễ bị tấn công làm tê liệt hệ thống. Việc đảm bảo đƣợc an toàn trong quản trị mạng là một điều rất khó khăn.
Mỗi phƣơng thức quản trị mạng đều có những hạn chế riêng trong việc đảm bảo an toàn cho các thông điệp khi lƣu thông trên mạng. Trong tƣơng lai việc quản trị mạng sẽ dễ dàng hơn, vấn đề an ninh trong nó sẽ đƣợc giải quyết triệt để hơn nhờ có những cơ chế an ninh của SNMPv3 và cơ chế an ninh của phƣơng thức quản trị mạng dựa trên nền web.
Các kết quả của luận văn này đạt đƣợc đó là đã nghiên cứu trên cơ sở lý thuyết của việc quản trị mạng và an ninh trên Internet.
Qua nghiên cứu về an ninh trong quản trị mạng SNMPv3 chúng ta nhận ra sử dụng mô hình “Mô hình bảo mật dựa trên ngƣời dùng USM” và “Kiểm soát truy nhập VACM” thì các thông báo đƣợc truyền đi trên mạng là an toàn.
Trong mô hình quản trị mạng dựa trên nền web vấn đề bảo mật chủ yếu là dựa trên xác thực và mã hóa kết nối của giao thức SSL. Sử dụng các cơ chế “Xác thực server”, “Xác thực client” và “Mã hóa kết nối” thì vấn đề đảm bảo an ninh cho các thông báo khi truyền đã đƣợc giải quyết.
Đƣa ra các ƣu điểm và nhƣợc điểm của từng mô hình quản trị, từ đó ngƣời dùng có thể lựa chọn mô hình quản trị mạng nào tốt nhất và an toàn nhất để phục vụ cho công việc quản trị của mình.
Phƣơng hƣớng nghiên cứu tiếp theo
Trên cơ sở những kết quả đạt đƣợc chúng tôi dự kiến tiếp tục nghiên cứu những vấn đề sau:
+ Nghiên cứu việc đƣa vấn đề xác thực và mã hóa bằng SSL vào các thiết bị quản trị SNMPv3.
+ Nghiên cứu đƣa USM và VACM vào kết hợp cùng với SSL để đảm bảo cơ chế an ninh trong quản trị mạng dựa trên nền web.
+ Nghiên cứu về vấn đề an ninh trong quản trị mạng dựa trên XML.
+ Nghiên cứu kết hợp các phƣơng thức an ninh khác nhau vào an ninh của quản trị mạng bằng XML.
Mặc dù đã rất cố gắng trong nghiên cứu thực hiện đề tài nhƣng do thời gian có hạn nên không tránh khỏi còn nhiều thiếu sót. Cuối cùng, một lần nữa, tôi xin chân thành cảm ơn sự tận tình hƣớng dẫn, chỉ bảo của Phó Giáo Sƣ, Tiến Sỹ Nguyễn Văn Tam, tôi xin cảm ơn tất cả bạn bè, đồng nghiệp đã giúp đỡ tôi có thể hoàn thành bản luận văn này.
TÀI LIỆU THAM KHẢO
A. Tài liệu tiếng việt
1. Vũ Duy Lợi (2002), Mạng thông tin máy tính, Nhà xuất bản Thế giới. 2. Giao thức mạng máy tính, Nguyễn Hữu Minh, http://www.ebook.edu.vn 3. Giáo trình hệ thống mạng máy tính CCNA, Nhà xuất bản LĐXH, 2004. 4. Internetworking với TCP/IP, Nhà xuất bản Giáo dục, 2001.
B. Tài liệu tiếng anh
5. Home Network Security, Carl M. Ellison, Corporate Technology Group, Intel Corporation,
6. SNMPV3: A Security Enhancement For SNMP, William Stallings. 7. Essential SNMP, By Douglas Mauro, kevin Schmidt 2001.
8. SNMPv3 More about VACM and USM, www. Opencontent.org.
9. Security in SNMPv3 versus SNMPv1 or v2c, Ubizen AETHIS Member of the Ubizen group.
10. A Policy-Based Security Management Architecture Using XML Encryption Mechanism for Improving SNMPv3, Choong Seon Hong and Joon Heo School of Electronics and Information, Kyung Hee University1 Seocheon, Giheung, Yongin, Gyeonggi 449-701 KOREA.
11. Push vs. Pull in Web-Based Network Management Jean-Philippe Martin- Flatin, 1998.
12. Based Network Configuration Management Systems, by João Baptista Siu.
13. SSL & TLS Essentials Securing the Web, Stephen A. Thomas, Wiley Computer Publishing.
14. A Web-based Management Tool for Health Care Services with Appointment Required, Luis Anido-Rifón, Olga Folgueiras-Artime and Fernando Aguado-Agelet, ETSI Telecomunicación Campus Universitario.
15. Desktop- vs. Web-based Network Management Luca Deri1,Finsiel S.p.A.
16. The Security of Network Management, Toni Paila Department of Computer Science Helsinki University ofTechnology.
17. Toni Paila Department of Computer Science Helsinki University of Technology.
18. Towards Semantic Web Services-based Network Configuration Management, Ziheng Liu, Chengling Zhao, Yanfeng Wang and Hui Xu, Student Member, IEEE.
19. http://www.essays.se
20. http://www.docstoc.com/search/Web-Based-Network-Management
21. http:// google.com.vn “User-based Security Model (USM) for version 3
of the, Simple Network Management Protocol (SNMPv3)”.
MỤC LỤC
MỞ ĐẦU ... 1
CHƢƠNG 1: TỔNG QUAN VỀ QUẢN TRỊ VÀ AN NINH THÔNG TIN TRÊN INTERNET ... 3
1.1. Các giao thức trên Internet ... 3
1.1.1. Giao thức TCP/IP ... 3
1.1.2. Giao thức UDP (User Datagram Protocol) ... 7
1.1.3. Giao thức TCP ... 8
1.2. Các kiến trúc quản trị mạng ... 11
1.2.1. Kiến trúc quản trị mạng SNMP ... 11
1.2.2. Kiến trúc quản trị mạng dựa trên Web ... 12
1.2.3. Các kiến trúc quản trị mạng khác ... 13
1.2.3.1. Quản trị mạng dựa trên XML ... 13
1.2.3.2. Quản trị mạng dựa trên chính sách ... 14
1.3. Vấn đề bảo đảm an ninh truyền thông trên Internet ... 15
1.3.1. Khái niệm về đảm bảo an ninh truyền thông ... 15
1.3.2. Bảo mật thông báo khi truyền trên Internet ... 16
1.3.3. Một số giải pháp ... 17
1.4. Kết luận chƣơng 1 ... 17
CHƢƠNG 2: QUẢN TRỊ MẠNG SNMP VÀ GIẢI PHÁP AN NINH CHO SNMPv3 ... 18
2.1. Quản trị mạng SNMP (Simple Network Management Protocol) ... 18
2.1.1 Quản trị mạng và giám sát mạng ... 19
2.1.2. Phiên bản RFC và SNMP ... 19
2.1.3. Quản trị (Managers) và Đại diện (Agents)... 20
2.1.4. Cấu trúc của thông tin quản trị và cơ sở thông tin quản trị ... 23
2.1.4.1. Các khái niệm ... 23 2.1.4.2. Các đặc tính của SMI ... 24 2.1.5. Hoạt động của SNMP ... 26 2.1.5.1. Get ... 29 2.1.5.2. Get-next ... 30 2.1.5.3. Get-bulk ... 32 2.1.5.4. Set ... 32
2.1.5.5. Error Response của “Get”, “Get-next”, “Get-bulk” và “Set” ... 32
2.1.5.6. SNMP Traps ... 34
2.1.5.7. SNMP Notification ... 36
2.1.5.8. SNMP inform ... 36
2.1.5.9. SNMP report ... 36
2.2. Bảo mật trong SNMPv1 ... 36
2.3. Cơ chế bảo mật trong SNMPv2 ... 38
2.4. Giải pháp an ninh cho các thông báo trong SNMPv3 ... 39