HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
TRẦN CÔNG THÀNH
NGHIÊN CỨU PHÁT TRIỂN HỆ THỐNG GIÁM SÁT
CẢNH BÁO VÀ HỖ TRỢ XỬ LÝ CHO ĐIỀU HÀNH
MẠNG VIỄN THÔNG TỰ ĐỘNG CẤP TỈNH
Chuyên ngành: Truyền dữ liệu và mạng máy tính
Mã số: 60.48.15
TÓM TẮT LUẬN VĂN THẠC SĨ
HÀ NỘI - 2012
Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Người hướng dẫn khoa học: PGS.TSKH. HOÀNG ĐĂNG HẢI
Phản biện 1: ………………………………………………………
Phản biện 2: ………………………………………………………
Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại
Học viện Công nghệ Bưu chính Viễn thông
Vào lúc: giờ ngày tháng năm
Có thể tìm hiểu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông
1
MỞ ĐẦU
Trong những năm gần đây cùng với sự phát triển của
khoa học công nghệ, viễn thông và công nghệ thông tin, đã làm
thay đổi cơ bản đến hoạt động xã hội, hoạt động kinh doanh và
giải trí của con người. Ngày càng nhiều khách hàng sử dụng
các dịch vụ viễn thông băng rộng, tốc độ cao như điện thọai
truyền hình, IPTV, truyền hình theo yêu cầu (VOD), Internet
tốc độ cao (xDSL, FTTx)
Đồng thời, các hãng truyền thông đã nghiên cứu chế tạo
và đưa ra thị trường nhiều loại thiết bị viễn thông công nghệ
mới, cung cấp các dịch vụ tiện ích cho con người. Bên cạnh đó
là các hệ thống viễn thông đa dạng với nhiều chủng loại, rất
khó khăn cho việc giám sát, điều hành và khai thác thiết bị của
đơn vị cung cấp dịch vụ. Số nhân lực bố trí trực thông tin, khai
thác quản lý mạng nhiều nhưng vẫn không hiệu quả do mạng
lưới được quản lý riêng rẽ, không đồng bộ, qua nhiều bộ phận
nên phải trao đổi thông tin tác nghiệp nhiều, dẫn đến nhiều sai
sót.
Trong khi đó, việc xử lý sự cố an toàn thông tin trên
mạng còn nhiều bất cập do chưa được chú trọng đúng mức,
chưa có khả năng giám sát được các nguy cơ tấn công nên khả
năng phát hiện sớm và thông báo về sự cố còn nhiều hạn chế.
Chính vì lẽ đó, cần có một hệ thống kỹ thuật theo dõi
giám sát an toàn mạng nhằm nâng cao năng lực phát hiện, cảnh
2
báo các sự cố an toàn thông tin trên mạng. Đây đang là một vấn
đề cấp bách đặt ra đối với mạng Viễn thông tỉnh.
Để có một hệ thống như vậy cần xây dựng các loại thiết
bị có khả năng thu thập thông tin an toàn mạng (Hệ thống giám
sát cảnh báo và hỗ trợ xử lý cho điều hành mạng Viễn thông tự
động). Phần mềm này này bao gồm phần cứng/phần mềm lắng
nghe, theo dõi và thu thập các thông tin phản ánh các dấu hiệu
mất an toàn thông tin trên mạng.
Mục đích của đề tài (các kết quả cần đạt được):
Trên cơ sở nghiên cứu triển khai chương trình, mong
muốn của đề tài sẽ xem các cảnh báo về điểm yếu, mã độc, lỗ
hổng do các chương trình chống Virus gài ở các Server hoặc
các máy trạm của mạng máy tính toàn Viễn thông tỉnh truyền
về Server trung tâm, xử lý tập trung từ đó lọc các cảnh báo và
đưa ra báo cáo hoặc thông qua SMS gửi đến bộ phận chuyên
trách để xử lý ngay, nhằm nâng cao hiệu qủa mạng lưới và đáp
ứng nhu cầu ngày càng lớn về sử dụng mạng trong sản xuất
kinh doanh của Viễn thông Hưng Yên.
Luận văn đƣợc chia làm các chƣơng nhƣ sau:
Chƣơng 1. Nghiên cứu khảo sát hiện trạng và phân
tích nhu cầu mạng VNPT Hƣng Yên.
Nghiên cứu hiện trạng hệ thống quản lý điều hành mạng
lưới Viễn thông, phân tích đánh giá các hạn chế, nhu cầu giám
sát cảnh báo các tấn công mạng từ đó đưa ra nhu cầu phát triển
3
hệ thống giám sát cảnh báo.
Chƣơng 2. Khái quát về hệ thống giám sát điều hành
mạng VNPT Hƣng Yên
Trình bày về kiến trúc, mô hình, các công nghệ, kỹ
thuật giám sát điều hành, các kiểu tấn công mạng điển hình, các
nguy cơ sự cố, từ đó thu thập cảnh báo từ xa về Trung tâm điều
hành.
Chƣơng 3. Phát triển hệ thống giám sát cảnh báo và
hỗ trợ xử lý cho điều hành mạng VNPT Hƣng Yên tự động
Đề xuất mô hình hệ thống, giải pháp thu thập thông tin
về các điểm yếu, mã độc, sự cố tấn công mạng.
Hệ thống luồng thông tin, Truyền gửi Các bản tin chứa
thông tin phục vụ giám sát cảnh báo, thu thập dữ liệu, định
dạnh dữ liệu báo cáo, thống kê,
Quy trình (các thuật toán ) thu thập thông tin, hiển thị
cảnh báo, hỗ trợ xử lý
Nội dung 4. Một số kết quả thử nghiệm hệ thống tại
VNPT Hƣng Yên
Trình bày một số kết quả thử nghiệm tại
Kết luận và hướng phát triển tiếp.
4
CHƢƠNG 1: NGHIÊN CỨU KHẢO SÁT HIỆN TRẠNG
VÀ PHÂN TÍCH NHU CẦU
1.1. Nghiên cứu hiện trạng hệ thống quản lý điều hành
mạng lưới VNPT Hưng Yên
Hiện tại VNPT Hưng Yên có 360 nhân viên với 08
Phòng ban, Trung tâm chức năng và 12 đơn vị thành viên trực
thuộc bao gồm 10 Trung tâm Viễn thông các Huyện-Thành
Phố, Trung tâm Dịch vụ khách hàng và Trung tâm Chuyển
mạch Truyền dẫn trải khắp địa bàn tỉnh với nhiều hệ thống viễn
thông được đầu tư đa dạng với nhiều chủng loại:
Hệ thống tổng đài TDM: EWSD,E10,AXE…
Hệ thống truyền dẫn quang: Huawei, Alcatel, Fujitsu…
Hệ thống XDSL, MSAN: Alcatel, Huawei, Siemens…
Hệ thống MANE: Cisco, Huawei
Hệ thống BTS VNP: Motorola, Huawei, Siemens, Ericson,
ZTE…
Hệ thống Switch layer2: Alcatel, Huawei, Cisco…
Hệ thống mạng ĐHSXKD: Cisco, Huawei, IBM, HP,…
Riêng trong hệ thống mạng ĐHSXKD ngoài các hệ
thống phần cứng nêu trên kết nối các trung tâm huyện, các hệ
thống thiết bị viễn thong nêu trên, điểm đại lý và kết nối ra
mạng ngoài mạng ĐHSXKD của VNPT Hưng Yên như: Trung
tâm thanh khoản, ban kế toán, Công ty Vinaphone, Học viện
5
BCVT, Tập đoàn Bưu Chính Viễn Thông và một số đối tác
khác. Số nút mạng tham gia vào mạng ĐHSXKD hơn 1.500 nút
mạng với nhiều Server Ứng dụng:
Hệ thống quản lý mạng ngoài vi và điều hành sửa chữa
119; Phát triển thuê bao; Tính cước và in hóa đơn; Quản lý thu
nợ và chăm sóc khách hàng; Quản lý và điều hành công việc
(AIS); Kế toán; Thi trắc nghiệm; Quản lý thuê bao, lấy số liệu;
Quản lý database; Website, mail, virus; Tra cước Online và hệ
thống giám sát điều hành mạng viễn thông tự động AOMC.
Mỗi loại hệ thống thiết bị lại có một hệ thống quản lý
NMS hỗ trợ giám sát, khai thác riêng rẽ, các cảnh báo không
thống nhất, dẫn đến tình trạng nhân viên khai thác hệ thống xử
lý khai báo cầu hình thiết bị bị chậm trễ.
Các hệ thống giám sát, quản lý thiết bị chỉ được cài đặt
tại các host điều này làm cho việc điều hành xử lý thông tin
thường xuyên chậm trễ do khi xự cố xảy bộ phận điều hành
cũng như cán bộ kỹ thuật trực tiếp không nắm bắt thông tin kịp
thời.
Số nhân lực bố trí trực thông tin, khai thác quản lý
mạng nhiều nhưng vẫn không hiệu quả do mạng lưới được
quản lý riêng rẽ, không đồng bộ, qua nhiều bộ phận nên phải
trao đổi thông tin tác nghiệp nhiều, dẫn đến nhiều sai sót.
Hệ thống quản lý phân tán nên khó khăn trong việc
chuẩn hóa, tối ưu, nâng cao chất lượng mạng lưới.
6
1.2. Phân tích đánh giá các hạn chế, nhu cầu giám
sát cảnh báo các tấn công mạng.
Hiện nay mạng Internet đã trở thành một phần không
thể thiếu của con người. Việc học tập, vui chơi giải trí, kinh
doanh, liên lạc trao đổi thông tin trên mạng đã trở thành những
hành động thường ngày của mọi người. Khả năng kết nối trên
toàn thế giới đang mang lại thuận tiện cho tất cả mọi người,
nhưng nó cũng tiềm ẩn những nguy cơ khó lường đe dọa tới
mọi mặt của đời sống xã hội. Việc mất trộm thông tin trên
mạng gây ảnh hưởng đến tính riêng tư cho các cá nhân, những
vụ lừa đảo, tấn công từ chối dịch vụ gây ảnh hưởng lớn đến
hoạt động kinh doanh cho các công ty và gây phiền toái cho
người sử dụng Internet… làm cho vấn đề bảo mật trên mạng
luôn là một vấn đề nóng và được quan tâm đến trong mọi thời
điểm.
Cho đến nay, các giải pháp bảo mật luôn được chú trọng
và đã có những đóng góp lớn trong việc hạn chế và ngăn chặn
những vấn đề về bảo mật, ví dụ như Firewall ngăn chặn những
kết nối không đáng tin cậy, mã hóa làm tăng độ an toàn cho
việc truyền dữ liệu, các chương trình diệt virus với cơ sở dữ
liệu liên tục cập nhật về những loại virus mới nhất. Tuy nhiên
hiện nay các vụ vi phạm bảo mật xảy ra ngày càng tinh vi hơn
cùng với sự gia tăng những vụ lạm dụng, dùng sai xuất phát từ
trong hệ thống mà những phương pháp bảo mật truyền thống
không chống được. Những điều đó dẫn đến yêu cầu phải có
7
một phương pháp bảo mật mới bổ trợ cho những phương pháp
bảo mật truyền thống.
Nhu cầu bảo vệ thông tin trên mạng Viễn thông Hưng
Yên có thể chia thành ba loại như sau:
Bảo mật: Những thông tin có giá trị về kinh tế, quân
sự, chính sách vv cần được giữ kín.
Tính toàn vẹn: Thông tin không bị mất mát hoặc sửa
đổi, đánh tráo.
Tính kịp thời: Yêu cầu truy nhập thông tin vào đúng
thời điểm cần thiết.
Trong các yêu cầu này, thông thường yêu cầu về bảo
mật được coi là yêu cầu số 1 đối với thông tin lưu trữ trên
mạng. Tuy nhiên, ngay cả khi những thông tin này không được
giữ bí mật, thì những yêu cầu về tính toàn vẹn cũng rất quan
trọng. không một cá nhân, một tổ chức nào lãng phí tài nguyên
vật chất và thời gian để lưu trữ những thông tin mà không biết
về tính đúng đắn của những thông tin đó.
Bảo vệ các tài nguyên sử dụng trên mạng:
Trên thực tế trong các cuộc tấn công trên Internet kẻ
tấn công sau khi đã làm chủ hệ thống bên trong sẽ sử dụng các
máy tính này để phục vụ cho mục đích cá nhân của mình hoặc
dùng để tiếp tục tấn công các hệ thống khác.
Bảo vệ uy tín của đơn vị:
8
Như trên đã nêu, một phần lớn các cuộc tấn công không
được thông báo rộng rãi, và một trong những nguyên nhân là
nỗi lo bị mất uy tín của các tổ chức, đặc biệt là các công ty lớn
và các cơ quan quan trọng trong bộ máy nhà nước. Trong
trường hợp người quản trị hệ thống chỉ được biết đến sau khi
chính hệ thống của mình được dùng làm bàn đạp để tấn công
các hệ thống khác, thì tổn thất về uy tín là rất lớn và có thể để
lại hậu quả lâu dài.
Trước thực tế đó nhu cầu đảm bảo an tòan cho các máy
tính, mạng được kết nối vào Internet càng trở nên vô cùng cấp
thiết. Nhiều quốc gia trên thế giới đó phải xây dựng các Trung
tâm giám sát thông tin trên mạng Internet để từ đó phát hiện các
nguy cơ gây mất an tòan cho người sử dụng và đưa ra các cảnh
báo, các biện pháp ngăn chặn kịp thời.
1.3. Phân tích nhu cầu phát triển hệ thống giám sát
cảnh báo.
Hệ thống giám sát cảnh báo, phát hiện xâm nhập trái
phép và hỗ trợ xử lý cho điều hành mạng Viễn thông tự động là
một phương pháp có khả năng chống lại các kiểu tấn công mới,
các vụ lạm dụng, dùng sai xuất phát từ trong hệ thống và có thể
hoạt động tốt với các phương pháp bảo mật truyền thống. Nó đã
được nghiên cứu, phát triển và ứng dụng từ lâu trên thế giới và
đã thể hiện vai trò quan trọng trong các chính sách bảo mật.
Tuy nhiên ở Việt Nam hiện nay hệ thống phát hiện xâm nhập
trái phép vẫn mới đang được nghiên cứu, vẫn chưa được ứng
9
dụng vào trong thực tế. Nguyên nhân của việc này có thể do
các hệ thống hiện nay quá phức tạp, tốn thời gian đào tạo để sử
dụng, cũng có thể do nó là những hệ thống lớn, yêu cầu nhiều
trang thiết bị, nhiều công sức để quản lý bảo dưỡng, không phù
hợp với điều kiện của các hệ thống ở Việt Nam hiện nay.
Chương trình hiện nay chủ yếu tập hợp giám sát quản lý
thiết bị, các lỗi xẩy ra và từ đó đưa ra thông báo cần xử lý, chưa
có giám sát cảnh báo các lỗ hổng, các nguy cơ bị tấn
công,…một khi hệ thống bị tấn công hoặc bị nghiễm Virus (Ví
dụ: hệ thống tổng đài ngừng hoạt động, hệ thống máy chủ bị
tấn công không vận hành được) dẫn đến ngừng việc hoạt động
sản xuất kinh doanh và các sự cố này chưa được tập hợp tập
chung, Xuất phát nhu cầu thực tế này cần phát triển thêm phần
giám sát cảnh báo và hỗ trợ xử lý lỗi sự cố tấn công tập chung.
Từ những vấn đề nêu trên, tôi thực hiện luận văn này
với mong muốn không chỉ nghiên cứu những đặc trưng cơ bản
của hệ thống cảnh báo và hỗ trợ xử lý cho điều hành mạng Viễn
thông tự động với vai trò là phương pháp mới bổ sung cho
những phương pháp hiện tại, mà còn có thể xây dựng được một
phần mềm phù hợp với điều kiện của Việt Nam và có thể ứng
dụng vào thực tiễn nhằm đảm bảo sự an toàn cho các hệ thống
và chất lượng dịch vụ cho người dùng.
10
CHƢƠNG 2: KHÁI QUÁT VỀ HỆ THỐNG GIÁM
SÁT ĐIỀU HÀNH MẠNG VNPT HƢNG YÊN
2.1. Mô hình kiến trúc hệ thống giám sát điều hành
mạng.
2.1.1. Kiến trúc hệ thống
Mô hình kiến trúc 3 mức của hệ CSDL gồm: Mức
trong, mức mô hình dữ liệu (Mức quan niệm) và mức ngoài.
Giữa các mức tồn tại các ánh xạ quan niệm trong và ánh xạ
quan niệm ngoài. Trung tâm của hệ thống là mức quan niệm,
tức là mức mô hình dữ liệu. Ngoài ra còn có khái niệm người
sử dụng, hệ quản trị CSDL và người quản trị CSDL.
Người sử dụng: Là những người tại thiết bị đầu cuối
truy nhập vào các hệ CSDL theo chế độ trực tuyến hay tương
tác bằng các chương trình ứng dụng hay bằng các ngôn ngữ con
dữ liệu. Thường là các chuyên viên kỹ thuật tin học, có trình độ
thành thạo biết lập trình và biết sử dụng ngôn ngữ con thao tác
dữ liệu (SQL Server, Oracle ). Người sử dụng có thể truy nhập
toàn bộ hay một phần CSDL mà họ quan tâm, phụ thuộc vào
quyền truy nhập của họ. Cách nhìn CSDL của người sử dụng
nói chung là trìu tượng. Họ nhìn CSDL bằng mô hình ngoài,
gọi là mô hình con dữ liệu.
Mô hình ngoài:Mô hình ngoài là nội dung thông tin của
CSDL dưới cách nhìn của người sử dụng. Là nội dung thông tin
của một phần dữ liệu tác nghiệp đựơc một người hoặc một
nhóm người sử dụng quan tâm. Nói cách khác, mô hình ngoài
11
mô tả cách nhìn dữ liệu của người sử dụng và mỗi người sử
dụng có cách nhìn dữ liệu khác nhau. Nhiều mô hình ngoài
khác nhau có thể cùng tồn tại trong một hệ CSD, nghĩa là có
nhiều người sử dụng chia sẻ chung cùng một cơ sở dữ liệu.
Mô hình ngoài được xác định bởi một sơ đồ ngoài bao
gồm các mô tả về kiểu bản ghi ngoài như tên các trường, kiểu
dữ liệu các trường, độ rộng của trường
• Ngôn ngữ con dữ liệu của người sử dụng thao tác trên
các bản ghi ngoài.
• Người sử dụng khác nhau có khung nhìn dữ liệu khác
nhau.
• Người sử dụng đầu cuối có thể là các ứng dụng hay
thao tác trực tiếp bằng ngôn ngữ thao tác, truy vấn dữ liệu.
Mô hình dữ liệu (mô hình quan niệm): Mô hình quan
niệm là cách nhìn dữ liệu một cách tổng quát của người sử
dụng. Nghĩa là có rất nhiều cách nhìn dữ liệu ở mô hình ngoài,
nhưng chỉ có duy nhất một cách nhìn dữ liệu ở mức quan niệm.
Biểu diễn toàn bộ thông tin trong CSDL là duy nhất.
Mô hình trong: Mô hình trong là mô hình lưu trữ vật lý
dữ liệu. Chỉ có duy nhất một và chỉ một cách biểu diễn CSDL
dưới dạng lưu trữ vật lý. Mô hình trong là cách biểu diễn cơ sở
dữ liệu trìu tượng ở mức thấp nhất.
12
Mô hình trong gồm nhiều xuất hiện của nhiều kiểu bản
ghi lưu trữ được xác định bởi một sơ đồ trong. Thông tin biểu
diễn trong mô hình trong là duy nhất.
2.1.2. Mô hình hệ thống
Hệ thống gồm 3 phân hệ chính: Phân hệ thu thập cảnh
báo (AlarmCollections), phân hệ trung tâm (cơ sở dữ liệu
database oracle, các module chuẩn hóa dữ liệu), phân hệ hiển
thị (bao gốm phần mềm hiển thị AOMC và module nhắn tin
điều hành SMS).
Phân hệ thu nhận dữ liệu bao gốm các windows
services hoạt động độc lập với nhau, mỗi service sẽ đảm nhiệm
giao tiếp, thu nhận dữ liệu cho một hệ thống viễn thông.
Các services này có thể giao tiếp với các hệ thống viễn
thông bằng nhiều chuẩn giao tiếp khác nhau: thông qua
database, web url, web services, snmp, Rs232, X25…
2.2. Các khả năng tấn công mạng, sự cố và khả năng
giám sát mạng.
- Sự rò rỉ thông tin (Information leaks)
- Sự giả mạo (Falsification)
- Từ chối dịch vụ (Dinial of Service)
- Sự mạo danh (Impersonation)
- Sự tấn công (Attack)
- Tấn công trực tiếp
13
- Nghe trộm
- Giả mạo địa chỉ
- Vô hiệu hoá các chức năng của hệ thống (denial of
service
- Lỗi của người quản trị hệ thống
- Tấn công vào yếu tố con người
2.3. Khả năng thu thập cảnh báo từ xa về Trung tâm
điều hành
Các hệ thống thiết trên mạng kết với nhau qua truyền
dẫn luồng E1 hoặc qua cổng FE (FastEthernet) hoặc cổng
quang truyền tải trên công nghệ IP theo sơ đồ kết nối chính, ở
đây lấy sơ đồ kết nối MANE làm ví dụ:
Và các kết nối nhánh như sau:
Kết nối đến khách hàng:
Với một mô hình mạng thông suốt truyền tải
trên nền tảng công nghệ IP được kết nối lên trung tâm. Việc
khai báo các giao thức quảng bá gói tin hoặc lấy logfile của
thiết bị và việc kết nối các hệ thống lại làm một truyền tải đến
Server thu thập thông tin thông thiết bị Switch Layer 3 là hoản
toàn có thể.
14
CHƢƠNG 3: PHÁT TRIỂN HỆ THỐNG GIÁM SÁT
CẢNH BÁO VÀ HỖ TRỢ XỬ LÝ CHO ĐIỀU HÀNH
MẠNG VNPT HƢNG YÊN TỰ ĐỘNG
3.1. Đề xuất mô hình hệ thống
Mô hình hệ thống chia làm 3 lớp:
- Trung tâm cấp tỉnh: Trung tâm cấp tỉnh được kết nối
trực tiếp với các hệ thống viễn thông.
- Các hệ thống viễn thông: Hệ thống Tổng đài, hệ
thống xDSL_SwitchL2, hệ thống truyền dẫn, hệ thống BTS, hệ
thống MANE, hệ thống mạng ĐHSXKD, …
- Các máy trạm tại các trung tâm viễn thông: Hệ
thống đảm bảo cho kết nối cùng lúc các tổ trạm trong toàn tỉnh
với toàn bộ trạm viễn thông và BTS.
Các máy trạm làm việc (station) dùng để truy suất vào
các hệ thống viễn thông xử lý các sự cố cũng như vận hành
khai thác các hệ thống này, các thiết bị server, router, switch,
modem GSM… để kết nối đến các hệ thống viễn thông.
3.2. Đề xuất giải pháp thu thập thông tin về các điểm
yếu, mã độc, sự cố tấn công mạng.
3.2.1. Quan điểm xây dựng chƣơng trình giám sát
chuyên dụng.
Do phần mềm Giám sát và hỗ trợ xử lý cho điều hành
mạng Viễn thông được chạy trên nền hệ điều hành Window
15
trên máy thật, để đảm bảo khả năng quan trắc liên tục 24/24h
và 7 ngày/tuần thông thường Phần mềm sử dụng 1 máy chủ
Server có hệ thống điện ổn định.
Về phần mềm phát triển trên cơ sở phần mềm C sharp,
đảm bảo khả năng tùy biến và cấu hình linh hoạt, có thể bổ
sung các mô đun đặc thù. Các chức năng chính đảm bảo giám
sát tất cả các sự cố trên toàn tỉnh, khi sự cố xảy ra đôn đốc, điều
hành các bộ phận xử lý liên quan để nhanh chóng khác phục sự
cố:
+ Giám sát lưu lượng mạng, đảm bảo chất lượng dịch
vụ;
+ Bẫy thu thập thông tin tấn công trên mạng;
+ Thu thập mã độc hại phát tán trên mạng;
+ Phát hiện dấu hiệu xâm nhập trái phép, đột nhập
mạng;
+ Bẫy thư rác;
+ Quét các điểm yếu của các hệ thống trên mạng diện
rộng.
3.2.2. Công nghệ thu thập thông tin
Công nghệ dự kiến áp dụng: Các mô đun có thể họat
động trên cơ sở cải tiến và tích hợp các công nghệ sau:
+ PRTG Network Monitor - Giám sát lưu lượng mạng.
16
+ Honeypot - Bẫy thu thập thông tin tấn công trên
mạng.
+ Nepenthes - Thu thập mã độc hại phát tán trên mạng.
+ Snort IDS - Phát hiện dấu hiệu xâm nhập trái phép,
đột nhập mạng.
+ Spampot - Bẫy thư rác.
+ Nessus - Quét các điểm yếu của các hệ thống trên
mạng diện rộng.
+ SNMP – Giao thức truyền tin
Các thiết bị được khai báo các giao thức truyền nhận tin
hoặc đẩy ra các logfile, chương trình giám sát kết nối với hệ
thống quản trị qua mạng LAN hoặc qua Internet. Đơn giản hơn
nữa có thể sử dụng một số giao thức Internet có bảo vệ bằng
mật mã
Quy trình xử lý sự cố:
- Khi có sự cố xảy ra máy chủ AOMC ghi nhận sự cố từ
bất ký hệ thống viễn thông nào.
- Hệ thống quy chuẩn mức cảnh báo hiển thị lên màn
hình tại TT-AOMC, các máy trạm tại TTVT tương ứng với
chuông, còi đồng thời gửi SMS cho người phụ trách khu vực có
sự cố.
- Sau một khoảng thời gian định trước TT-AOMC
không nhận được SMS hoặc điện thoại xác nhận của cơ sở thì
17
nhân viên trực sẽ dùng điện thoại đôn đốc xừ lý đồng thời SMS
sẽ tự động được gửi lên cấp quản lý cao hơn.
- Trong suốt quá trình xử lý sự cố thì đầu mối AOMC là
chủ trì, thực hiện khai báo, thay đổi cấu hình để khắc phục sự
cố nhanh nhất.
- Sau khi sự cố khắc phục AOMC sẽ cập nhật, quy
chuẩn nguyên nhân sự cố phục vụ cho thống kê, báo cáo cũng
như phòng ngừa sự cố.
3.2.3. Nghiên cứu một số phần mềm và khả năng áp
dụng cho giám sát cảnh báo và hỗ trợ xử lý cho điều hành
mạng VNPT Hƣng Yên tự động.
3.2.3.1. Phần mềm SNORT
SNORT là một phần mềm phát hiện xâm nhập mạng mã
nguồn mở (Network Intrusion Detection System - NIDS).
SNORT là một IDS hoạt động dựa trên các luật được lưu trữ
trong các file text và có thể được chỉnh sửa bởi người quản trị.
Mô hình một hệ thống sử dụng SNORT có thể được biểu diễn
như sau:
SNORT được chia thành nhiều thành phần. Những
thành phần này làm việc với nhau để phát hiện các cách tấn
công cụ thể và tạo ra output có định dạng theo yêu cầu. Một
IDS dựa trên SNORT bao gồm các thành phần chính sau đây:
- Bộ phận giải mã gói tin (Packet Decoder)
- Bộ phận tiền xử lý (Preprocessor)
18
- Bộ phận phát hiện (Dectection Engine)
- Hệ thống ghi log và cảnh báo (Logging and Alerting
System)
- Bộ phận đầu ra (Output Modules)
3.2.3.2. Phần mềm PRTG Network Monitor
PRTG Network Monitor cho phép kiểm tra hiệu suất và
kết nối mạng nội bộ cho máy tính nội bộ của bạn nhưng kết nối
và kiểm tra mạng cho toàn bộ doanh nghiệp. PRTG Network
Monitor có thể thực hiện điều này thông qua kiểu sensor khác
nhau như SNMP, WMI, & Netflow cho phép bạn thực hiện các
hành động dưới đây:
Kiểm ta băng thông, hiệu suất sử dụng, uptime
và khả năng sẵn có
Vấn đề báo cáo và cảnh báo
Giao diện web
3.3. Hệ thống luồng thông tin.
Trong quá trình hoạt động các hệ điều hành như
Windows, Linux, , các hệ chống Virus, các sản phẩm thiết bị
an ninh mạng như Firewall, IDS, liên tục tạo ra các biên bản
sự kiện dưới dạng các file biên bản (logfiles) trong đó chứa rất
nhiều thông tin cho phép phân tích về tình trạng an toàn mạng.
Hệ thống phần mềm chuyên dụng thu thập thông tin bằng cách
xử lý các file biên bản (logfiles) sẵn có nêu trên là một thành
19
phần quan trọng cung cấp thông tin cho hệ thống giám sát,
được quy chuẩn cảnh báo và đưa ra cảnh báo.
3.4. Thu thập dữ liệu phục vụ cảnh báo.
Hệ thống này bao gồm các Module có chứa các
Services tự động và phương tiện quan sát bắt các gói tin, đánh
giá độ chính xác thực của thông tin nhận được. Mỗi kênh thông
tin riêng biệt phải xử lý tương quan để loại bỏ yếu tố trùng lặp
trong hệ thống. Chỉnh lý, hoàn thiện bản ghi và đưa vào cơ sở
dữ liệu (database Server). Để giám sát các gói tin không được
phép, các Services được nối tới mạng có nhiệm vụ thu thập các
gói tin như vậy. Các gói tin thu thập được tích lũy lại trong
database Server. Dữ liệu được chứa trong database Server được
phân tích trong hệ thống và các dư liệu của cuộc tấn công được
phát hiện dựa trên cơ sở quá trình phân tích này. Dữ liệu sau đó
có thể được quan sát trên màn hình hiển thị.
Các thông tin từ nhiều kênh khác nhau cũng cần phải
được xử lý tương quan chéo (correlation) triệt để để loại bỏ yếu
tố trùng lặp trong thống kê. Phần mềm xử lý tương quan có
thuật toán phức tạp rất quan trọng. Chất lượng phần mềm này
ảnh hưởng đến kết quả của toàn hệ thống (hiệu năng xử lý
thông tin và tỷ lệ bỏ sót cảnh báo ).
Hỗ trợ chuyên gia kiểm chứng xác thực nguồn tin thông
báo có giá trị.
Các yếu tố cảnh báo được đối chiếu, nhận dạng sự cố tự
động hoặc qua phân tích chuyên gia.
20
Mọi thông tin đầu vào sau xử lý tương quan và kết quả
phân tích được ghi vào hệ thống CSDL phục vụ thống kê, tổng
hợp, nghiên cứu
.3.5 Các định dạnh dữ liệu báo cáo, thống kê.
Thống kê báo cáo các sự cố trên mạng.
Từ thống kê này ta biết được trạm nào, các Server ứng
dụng hoặc máy tính trạm nào có sự cố nhiều để có biện pháp
khắc phục.
Ta có thể quản lý thời gian chạy máy phát điện nếu các
trạm có đấu cảnh báo ngoài.
21
CHƢƠNG 4: MỘT SỐ KẾT QUẢ THỬ NGHIỆM HỆ
THỐNG TẠI VNPT HƢNG YÊN
Ở chương này nêu lên các nội dung:
- Tạo nhóm, tạo người dùng và gán người dùng vào nhóm
- Tạo đơn vị quản lý, Tạo thiết bị, gán thiết bị vào đơn vị quản
lý, cấu hình nhóm quán lý thiết bị
- Cấu hình kết nối đến thiết bị bắt cảnh báo
- Định nghĩa lỗi quy chuẩn cảnh báo
- Cấu hình gửi nhận SMS
- Thống kê báo cáo
22
KẾT LUẬN
Nghiên cứu phát triển hệ thống giám sát cảnh báo và hỗ
trợ xử lý cho điều hành mạng Viễn thông tự động là vấn đề
quan tâm của Toàn Tập đoàn Bưu chính Viễn thông hiện nay.
Góp phần quan trọng nhằm mang lại cơ hội tiết kiệm chi phí,
gia tăng lợi nhuận trong hoạt động sản xuất, kinh doanh. Sử
dụng hiệu quả và khai thác triệt để cở sở hạ tầng mạng sẵn có
của mình trên nền tảng công nghệ IP. Xây dựng hệ thống với
chi phí ban đầu rẻ nhưng lại đáp ứng được nhu cầu công việc.
Qua nghiên cứu và triển khai chương trình sẽ hỗ trợ
cảnh báo, giám sát, báo cáo toàn bộ mạng sẽ cung cấp cho
người sử dụng và nhà quản trị doanh nghiệp những báo cáo chi
tiết nhất đảm bảo độ chính xác cao.
Kết quả luận văn này có ý nghĩa thực tiễn, nó làm cơ sở
tham khảo trong việc xây dựng hệ thống giám sát cảnh báo và
hỗ trợ xử lý cho điều hành mạng VNPT Hưng Yên nhằm cung
cấp tốt dịch vụ cho khách hàng và tăng tính cạnh tranh trong
việc cung cấp dịch vụ.
Các kết quả đã đạt được của luận văn:
o Nghiên cứu khảo sát hiện trang, phân tích nhu
cầu giám sát mạng
o Nghiên cứu hệ thống giám sát điều hành mạng
VNPT Hưng yên
23
o Phát triển hệ thống giám sát điều hành…
o Trình bày một số kết quả thử nghiệm
Luận văn đã hoàn thành các nội dung yêu cầu của một
luận văn tốt nghiệp Thạc sĩ kỹ thuật.
Do thời gian có hạn nên chương trình không thể tránh
được các thiếu sót các mặt còn hạn chế chẳng hạn như:
- Thiếu các mẫu báo cáo hỗ trợ cho việc trao đổi thông
tin cũng như quản lý được chất lượng thực tế của hệ thống.
- Hình thức giao diện còn thiếu sự hợp lý và tiện dụng.
Trong tương lai nếu điều kiện cho phép em sẽ phát triển
và hoàn thiện bài toán này theo các định hướng sau:
- Xây dựng các form thiết lập các tham số nhằm mục
đích hỗ trợ các báo cáo còn thiếu sự hợp lý và tiện dụng cũng
như quản lý chất lượng thực tế của hệ thống.
- Triển khai toàn diện trên các trạm Viễn thông Hưng
Yên.
- Hoàn thiện chương trình trở thành phần mềm đóng gói
triển khai và áp dụng cho những doanh nghiệp vừa và nhỏ trên
địa bàn tỉnh Hưng Yên.
Em xin chân thành cảm ơn!