Tải bản đầy đủ (.pdf) (94 trang)

Nghiên cứu giải pháp an toàn thông tin cho một số kiến trúc quản trị mạng

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3 MB, 94 trang )

Trang 1


ĐẠI HỌC THÁI NGUYÊN
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG






HOÀNG THẾ ANH




NGHIÊN CỨU GIẢI PHÁP AN TOÀN
THÔNG TIN CHO MỘT SỐ KIẾN TRÚC
QUẢN TRỊ MẠNG






LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN









Thái Nguyên - 2013

Trang 2

Số hóa bởi Trung tâm Học liệu


ĐẠI HỌC THÁI NGUYÊN
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG






HOÀNG THẾ ANH


NGHIÊN CỨU GIẢI PHÁP AN TOÀN
THÔNG TIN CHO MỘT SỐ KIẾN TRÚC
QUẢN TRỊ MẠNG





LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN


Chuyên ngành: Khoa học máy tính
Mã số: 60480101

NGƢỜI HƢỚNG DẪN KHOA HỌC: PGS, TS. NGUYỄN VĂN TAM




Thái Nguyên - 2013
Trang 3

Số hóa bởi Trung tâm Học liệu

LỜI CẢM ƠN
Để hoàn thành chương trình cao học và viết luận văn này, tôi đã nhận
được sự hướng dẫn, giúp đỡ và góp ý nhiệt tình của quí thầy cô trường Đại
học Công nghệ Thông tin và Truyền thông – Đại học Thái Nguyên.
Trước hết, tôi xin chân thành cảm ơn đến quí thầy cô trường Đại học
Công nghệ Thông tin và Truyền thông – Đại học Thái Nguyên, đặc biệt là
những thầy cô đã tận tình dạy bảo cho tôi suốt thời gian học tập tại trường.
Tôi xin gửi lời biết ơn sâu sắc đến PGS,TS Nguyễn Văn Tam đã dành rất
nhiều thời gian và nhiệt tình hướng dẫn nghiên cứu giúp tôi hoàn thành luận
văn tốt nghiệp.
Nhân đây, tôi xin chân thành cảm ơn Ban Giám hiệu trường Đại học
Công nghệ Thông tin và Truyền thông – Đại học Thái Nguyên cùng quí thầy
cô đã tạo rất nhiều điều kiện để tôi học tập và hoàn thành tốt khóa học.
Mặc dù tôi đã có nhiều cố gắng hoàn thiện luận văn bằng tất cả sự nhiệt
tình và năng lực của mình, tuy nhiên không thể tránh khỏi những thiếu sót,
rất mong nhận được những đóng góp quí báu của quí thầy cô và các bạn.


Thái Nguyên, tháng 12 năm 2013
Học viên


HOÀNG THẾ ANH




Trang 4

Số hóa bởi Trung tâm Học liệu

LỜI CAM ĐOAN

Tôi xin cam đoan luận văn là kết quả nghiên cứu của tôi, không sao
chép của ai. Nội dung luận văn có tham khảo và sử dụng các tài liệu liên
quan, các thông tin trong tài liệu được đăng tải trên các tạp chí và các trang
website theo danh mục tài liệu tham khảo của luận văn.

Tác giả luận văn


HOÀNG THẾ ANH
Trang 5

BẢNG DANH MỤC CÁC THUẬT NGỮ VIẾT TẮT VÀ HÌNH ẢNH
1. CÁC THUẬT NGỮ VIẾT TẮT
THUẬT NGỮ, VIẾT TẮT

MÔ TẢ Ý NGHĨA
SNMP
Simple Network Management Protocol
SNMPv1
Simple Network Management Protocol version 1
SNMPv2
Simple Network Management Protocol version 2
SNMPv3
Simple Network Management Protocol version 3
NMS
Network Management Station
IOS
Internetwork Operation System
UDP
User Datagram Protocol
TCP
Transmission Control Protocol
TCP/IP
Transmission Control Protocol/Internet Protocol
UDP
User Datagram Protocol
PDU
Protocol Data Unit
HTML
HyperText Transfer Protocol
xHTML
Extensible - HyperText Transfer Protocol
PDA
Personal Digital Assistant
IP

Internet Protocol
QTM
Quản trị mạng
XML
eXtensible Markup Language
DTD
Document Type Definition
SAX
Simple API for XML
XSL
EXtensible Stylesheet Language
XSLT
XSL Transformations
XPath
Ngôn ngữ đường dẫn XML
XUpdate
Là một ngôn ngữ cập nhật
XQuery
Ngôn ngữ truy vấn XML
SMTP
Simple Mail Transfer Protocol
API
Application Programming Interface
DOM
Document Object Model
DB
DataBase
WBEM
Web-Based Enterprise Management
DMTF

Distributed Management Task Force
CIM
Common Information Model
EWS
Exchange Web Service"
XNM
XML Network Managment
RPC
Remote Procedure Calls
SSL
Secure Socket Layer
Trang 6


Manager
Quản lý
Agent
Thiết bị máy trạm
TFTP
Trivial File Transfer Protocol
RTT
Round-Trip Time
MIB
Management Information Base
OID
Object Identifiers
ACK
Acknowledge
QLM
Quản lý mạng

RFC
Request for Comments
MD5
Message-Digest algorithm 5
HMAC
Hash Message Authentication Code
CBC-DES
Data Encryption Standard - Cipher Block Chaining
BER
Basic Encoding Rules
LCD
Liquid Crystal Display
LAN
Local Area Network
DES
Data Encryption Standard

2. DANH MỤC CÁC HÌNH
STT
Tên hình
Trang
ng
1
Hình 1.1: Các công nghệ XML

12
2
Hình 1.2: Các nhiệm vụ cơ bản trong hệ quản trị mạng

14

3
Hình 1. 3: Các phối hợp giữa manager và agent

16
4
Hình 1.4. Xem trộm thông điệp

17
5
Hình 1.5. Sửa thông điệp

18
6
Hình 1.6. Mạo danh

18
7
Hình 1.7. Phát lại thông điệp

19
8
Hình 1.8. Mô hình bảo mật truyền thông tin trên mạng

20
9
Hình 2.1. Mô hình hoạt động giữa Manager và Agent

24
10
Hình 2.2 Các lệnh truyền thông Manager/Agent


27
11
Hình 2.3 Các lệnh truyền thông Manager/Agent- GET

27
12
Hình 2.4 Các lệnh truyền thông Manager/Agent Get-next

29
13
Hình 2.5 Các lệnh truyền thông Manager/Agent G et-bulk

30
14
Hình 2.6 Các lệnh truyền thông Manager/Agent (Set)

31
15
Hình 2.7 Các lệnh truyền thông Manager/Agent (SNMP Traps)
33
16
Hình 2.8 SNMP trong TCP/IP

36
17
Hình 2.9: Cây đăng ký của OSI

42
18

Hình 2.10: Cây MIB-II Internet

43
19
Hình 2.11 Cấu trúc phần tử SNMP

51
Trang 7


20
Hình 2.12 Phân hệ bảo mật

51
21
Hình 2.13 Các thành phần của một SNMP Manager.

52
22
Hình 2.14 Các thành phần của một SNMP Agent

53
23
Hình 3.1 Mô hình triển khai

73
39
Hình 3.2 câu lệnh cài đặt gói SNMP
73
40

Hình 3.3 quá trình cài các gói hỗ trợ PHP
74
41
Hình 3.4 Thông báo quá trình cài đặt gói SNMP
74
42
Hình 3.5 Thông báo quá trình cài đặt gói RRDTool
75
43
Hình 3.6 Thông báo quá trình cài đặt gói RRDTool
75
44
Hình 3.7 Thông báo quá trình cài đặt gói Cacti)
75
45
Hình 3.8 Màn hình giao diện Cacti khởi động cài đặt
76
46
Hình 3.9 Màn hình giao diện Cacti kiểm tra các công cụ
76
47
Hình 3.10 Màn hình đăng nhập hệ thống
77
48
Hình 3.11 Màn hình giao diện chính hệ thống
77
49
Hình 3.12 Màn hình giao diện phần bô sung thiết bị cần giám sát
78
50

Hình 3.13 Màn hình giao diện bật chức năng SNMP trong Win XP
79
51
Hình 3.14 Màn hình giao cấu hình dich vụ SNMP trong Win XP
74
52
Hình 3.15 Màn hình giao thêm thiết bị mới trong Cacti
79
53
Hình 3.16 Danh sách các nội dung cần xem
80
54
Hình 3.17 Trang thái kết nối thiết bị trong Cacti
80
55
Hình 3.18 tạo Graphs cho thiết bị trong Cacti
81
56
Hình 3.19 tạo “Tree” cho thiết bị trong Cacti
81
57
Hình 3.20: Tạo các thành phần cho “Tree” cho thiết bị trong Cacti
82
58

82
59
Hình 3.22: Một templace data trong Cacti
83
60

Hình 3.23: Xem hình ảnh giám sát một thiết bị trong Cacti
83
61
Hình 3.24: Xem hình ảnh giám sát bằng biểu đó một thiết bị trong
Cacti
84
62

84
63
Hình 3.26 Mô hình hoạt động của SNMP thực nghiệm

85

Trang 8


ĐẶT VẤN ĐỀ
Ngày nay, mạng Internet đã không ngừng phát triển cùng với sự phát triển của xã
hội, hệ thống mạng ngày càng tích hợp nhiều mạng không đồng nhất để chia sẻ thông tin.
Do quy mô mạng ngày càng phát triển để đáp ứng nhu cầu của con người, hệ thống mạng
ngày càng phức tạp và đòi hỏi sự hoạt động có hiệu quả, độ tin cậy cao.
Để bảo đảm tính sẵn sàng và hiệu năng cao cho mạng, đặc biệt là mạng Internet
phải có một hệ thống quản trị mạng để thu nhận, phân tích khối lượng dữ liệu lớn và đưa
ra những hiệu chỉnh phù hợp, kịp thời. Thông tin quản trị mạng trên môi trường Internet
có thể bị mất mát, thất lạc, thay đổi hoặc có khả năng giả mạo, vv.
Tất cả mọi thông tin được truyền đi và nhận đều cần được bảo vệ an toàn, chính
xác và tin cậy. Vì vậy trong kiến trúc quản trị mạng SNMP, các phiên bản SNMPv1 và
SNMPv2 đã đưa ra giải pháp xác thực cộng đồng. Tuy nhiên, việc đảm bảo tính xác thực,
tính toàn vẹn, tính bảo mật của các thông điệp quản trị mạng là hết sức cần thiết, phiên

bản SNMPv3 đã đáp ứng được những yêu cầu này.
Bên cạnh kiến trúc quản trị mạng SNMP, kiến trúc quản trị mạng dựa trên Web
cũng đang được các nhà khoa học công nghệ quan tâm vì nó được thừa hưởng những giải
pháp an ninh đã phat triển cho hệ thống Web. Vì vậy, tôi đã chọn hướng đề tài này để
nghiên cứu.
Trong khuôn khổ kiến thức có được qua quá trình được đào tạo tại trường và công
việc thực tế, tôi chọn đề tài “ Nghiên cứu giải pháp an toàn thông tin cho một số kiến
trúc quản trị mạng” với đề tài này tôi muốn đóng góp, xây dựng thử nghiệm vào một mô
hình cụ thể và qua đó đánh giá khả năng triển khai trong thực tế hệ thống quản trị mạng có
độ an ninh cao.
Luận văn bao gồm 3 chương:
Chương 1: Tổng quan về quản trị và an ninh thông tin trên Internet.
Chương 2: Quản trị mạng SNMP và giải pháp an ninh của SNMPv3
Chương 3: Thử nghiệm công cụ quản trị mạng an toàn dựa trên mã nguồn mở.
Xin chân thành cảm ơn sự nhiệt tình giúp đỡ của các thầy cô trong trường và đặc
biệt là PGS.TS Nguyễn Văn Tam đã giúp tôi hoàn thành luận văn này.

Người

thực

hiện


HOÀNG THẾ ANH
Trang 9


MỤC LỤC
NỘI DUNG

TRANG
LỜI CẢM ƠN 3
ĐẶT VẤN ĐỀ 5
CHƢƠNG 1: TỔNG QUAN VỀ QUẢN TRỊ VÀ AN NINH THÔNG TIN INTERNET 10
1.1 Các khái niệm cơ bản 10
1.1.1 Thiết lập cấu hình, quản trị tài nguyên 10
1.1.2 Quản trị người dùng và các dịch vụ mạng 11
1.1.3 Quản trị hiệu suất hệ thống mạng 12
1.1.4 Quản trị bảo mật, an toàn mạng 12
1.2 Các kiến trúc quản trị mạng 13
1.2.1 Quản trị mạng SNMP 13
1.2.2 Quản trị mạng dưa trên Web 14
1.2.3 Một số kiến trúc quản trị mạng khác (QTM dựa trên XML) 15
1.3 Vấn đề đảm bảo an ninh cho thông điệp truyền trên Internet 20
1.3.1 Các đe doạ đối với các thông điệp truyền trên mạng. 20
1.3.2 Một số giải pháp bảo đảm an ninh cho thông điệp truyền trên mạng. 22
CHƢƠNG 2: QUẢN TRỊ MẠNG SNMP VÀ GIẢI PHÁP AN NINH SNMPV3 26
2.1. Mô hình truyền thông của quản trị mạng SNMPv1, SNMPv2 26
2.1.1 Hệ thống truyền thông Manager/Agent 26
2.1.2 Các lệnh truyền thông Manager/Agent 29
2.1.3 Cấu trúc của các thông điệp của quản trị mạng SNMPv1, SNMPv2 38
2.1.4 Cơ chế bảo đảm an ninh của SNMPv1, SNMPv2 48
2.2 Giải pháp an ninh cho các thông điệp trong SNMPv3 50
2.2.1 Giới thiệu SNMPv3 50
2.2.2 Các đặc điểm mới trong SNMPv3 52
2.2.3 Kiến trúc mô đun và cấu trúc thông điệp của quản trị mạng SNMPv3 53
2.2.4 Mô hình bảo mật dựa trên người dùng (User-Based SecurityModel). 59
2.2.5 Mô hình điều khiển truy nhập đựa trên danh sách đối tượng (View-Based Access Control (VACM) 70
2.3 Quản trị mạng dựa trên Web và Giải pháp an ninh 70
2.3.1. Kiến trúc và Mô hình quản trị mạng dựa trên Web 71

2.3.2. Giải pháp an ninh cho quản trị mạng dựa trên Web 71
CHƢƠNG 3. 74
THỬ NGHIỆM CÔNG CỤ QUẢN TRỊ MẠNG AN TOÀN DỰA TRÊN MÃ NGUỒN MỞ
74
3.1 LỰA CHỌN MÔ HÌNH VÀ ỨNG DỤNG CÔNG CỤ THỬ NGHIỆM 74
3.1.1 Mô hình thư nghiệm 74
3.1.2 Ứng dụng mô hình 74
3.1.3 Giới thiệu về Cacti 75
3.1.4 Mô hình triển khai. 76
3.1.5 Cài đặt các chương trình 76
3.1.6 Cấu hình phần mềm mã nguồn mở Cacti. 80
3.2. QUÁ TRÌNH HOẠT ĐỘNG VÀ ĐÁNH GIÁ KẾT QUẢ THỰC NGHIỆM 88
3.2.1 Phân tích quá trình hoạt động 88
3.2.2 Đánh giá kết quả thực nghiệm 89
3.3 KẾT

LUẬN



HƢỚNG

PHÁT

TRIỂN
92
3.3.1 Kết luận 92
3.3.2 Hướng phát triển 92
Trang 10



CHƢƠNG 1: TỔNG QUAN VỀ QUẢN TRỊ VÀ AN NINH THÔNG
TIN INTERNET
1.1 Các khái niệm cơ bản
1.1.1 Thiết lập cấu hình, quản trị tài nguyên
Có rất nhiều định nghĩa, khái niệm về “quản trị mạng”, tuy nhiên để định nghĩa một
khái niệm nào đó cụ thể về quản trị mạng thì rất khó, những khái niệm đó có thể chính
xác trong một thời điểm nhưng xét về lâu dài sẽ bị lạc hậu do có nhiều sự thay đổi trong
cung cách quản lý một hệ thống mạng.
Trong quá trình tìm hiểu và thực hành trong môi trường mạng, các nhà quản trị
mạng đưa ra một số khái niệm trực quan nhất về “quản trị mạng” mà từ đó ta có thể biết
được các công việc và vai trò của mình như:
- Thiết lập cấu hình, quản trị tài nguyên: Bao gồm việc quản lý, thiết lập cấu hình,
quản lý tài nguyên với các đối tượng khác nhau.
- Quản trị người dùng và các dịch vụ mạng: bao gồm việc quản trị các tài khoản
người dùng trên hệ thống và bảo đảm các dịch vụ hoạt động ổn định đúng tiêu chuẩn.
- Quản trị hiệu suất hệ thống mạng: bao gồm việc quản lý, giám sát hoạt động
mạng lưới, đảm bảo hoạt động các thành phần hệ thống ổn định.
- Quản trị bảo mật, an toàn mạng: bao gồm việc giám sát, bảo mật và khắc phục sự
cố mạng giúp các hệ thống để đảm bảo phòng tránh các truy nhập trái phép.
Thiết lập cấu hình là một công việc cơ bản nhất của nền tảng mạng, việc thiết lập
cấu hình các thiết bị mạng sẽ cho ta một cái nhìn tổng thể về hệ thống mạng của mình, ví
dụ ta thiết lập sử dụng lớp IP từ đó ta có thể biết được quy mô của hệ thống mạng (số
lượng nút) từ đó hoạch định được các khu vực để đưa ra mô hình quản trị cho tốt.
Quản trị tài nguyên mạng cũng rất quan trọng, nó yêu cầu người quản trị phải biết
phân chia, sắp xếp các thiết bị ở các lớp mạng cho phù hợp nhằm phân tải, và tối đa hóa
Trang 11


hiệu suất sử dụng của người dùng đầu cuối cho hệ thống nhằm nâng hiệu suất cho toàn

bộ hệ thống mạng.
Tóm lại, việc thiết lập cấu hình, quản trị tài nguyên là bước ban đầu tối quan trọng
để xác lập một hệ thống mạng theo khả năng tài chính và yêu cầu nhiệm vụ cụ thể nhằm
nâng cao hiệu suất làm việc của cả một hệ thống, ngoài ra nó còn hoạch định được khả
năng có thể mở rộng của hệ thống khi có sự thay đổi quy mô của hệ thống mạng.
1.1.2 Quản trị ngƣời dùng và các dịch vụ mạng
Một hệ thống mạng phải được phân tích ngay từ đầu là số lượng người sử dụng và
các dịch vụ cài đặt trên đó là gì, từ đó ta có thể chọn các mô hình quản trị và lựa chọn
thiết bị cho phù hợp. Ví dụ, một hệ thống mạng cho một trường đại học sẽ phải khác rất
nhiều cho một hệ thống mạng của một doanh nghiệp, vì các dịch vụ triển khai trên đó
khác nên chúng ta phải lựa chọn các thiết bị và mô hình quản lý khác nhau để quản lý
dịch vụ được tốt hơn.
Việc xác định được các dịch vụ triển khai trên hệ thống mạng sẽ xác định mô hình
mạng, từ mô hình mạng sẽ xác định được việc quản trị người dùng theo mô hình nào hiệu
quả nhất, ví dụ một hệ thống mạng lưu trữ sẽ rất khác với hệ thống mạng truy cập
internet, việc xác định được dịch vụ triển khai sẽ cho phép người quản trị thiết lập mô
hình truy cập mạng theo phương thức nào như domain controller (phân cấp) hay user
ngang hàng.
Việc xây dựng các quản trị người dùng theo đúng mục tiêu hệ thống mạng sẽ mang
lại sự bảo mật rất tốt cho hệ thống do phân quyền theo nhóm người dùng, ngoài những
tính năng hữu ích và tiện dụng cho người dùng việc phân quyền cho người dùng sẽ đảm
bảo được yếu tố tránh lãng phí tài nguyên mạng và nâng cao hiệu quả hoạt động của hệ
thống mạng.
Trang 12


1.1.3 Quản trị hiệu suất hệ thống mạng
Một hệ thống mạng hoạt động tốt ngoài việc đáp ứng các yêu cầu về phần cứng,
quy mô hoạt động, mô hình quản trị người dùng, cấc dịch vụ triển khai trên đó thì người
quản trị phải quản trị được hiệu suất làm việc của cả hệ thống từ giám sát được các hoạt

động chính, các điểm yếu để nâng cấp khi cần thiết.
Muốn quản trị được hiệu suất mạng người quản trị phải hiểu được từ những bước
ban đầu như cấu hình các thiết bị từ sơ đồ yêu cầu hệ thống, xác định người dùng và các
dịch vụ triểu khai từ đó có thể triển khai các phần mềm quản trị hệ thống mạng để giám
sát và trich rút, tổng hợp các thông tin để tìm ra những điểm chưa phù hợp, những thiết bị
hoạt động chưa tốt nhằm thay thế, nâng cấp để hiệu suất làm việc của toàn hệ thống.
1.1.4 Quản trị bảo mật, an toàn mạng
Các nhiệm vụ trên nếu được triển khai đồng bộ, có mô hình quản trị tốt, xác định
được các dịch vụ trong hệ thống mạng, xác định được các mô hình truy cập của người
dùng là có thể triển khai một hệ thống mạng hoàn chỉnh ở mức độ mô hình và vật lý mà
một hệ thống phải có để triển khai sử dụng một hệ thống mạng.
Tuy nhiên, việc truyền tải, chia sẻ, sử dụng thông tin ( tùy theo mô hình dịch vụ) sẽ
gặp nhiều rủi ro như mất mát thông tin, bị đọc trộm, nghe lén ( mất an toàn) là điều hoàn
toàn có thể xảy ra tùy vào dịch vụ của mình.
Người quản trị ngoài việc tuân thủ tối đa các quy trình bảo mật ở mức độ có sẵn
của hệ thống mạng ( như windows, Unix) thì cần phải tìm hiểu các dịch vụ quản trị mạng
thêm để nâng cao bảo mật.
Hiện nay có rất nhiều hệ thống, phần mềm của các hãng thứ 3 dùng để tích hợp vào
hệ thống để nâng cao tính an toàn của hệ thống, từ đó nâng cao hiệu quả hoạt động của
mạng nhằm làm tối đa hiệu suất làm việc của hệ thống, mang lại hiệu quả kinh tế cho
người đầu tư và cho toàn xã hội.
Trang 13


1.2 Các kiến trúc quản trị mạng
1.2.1 Quản trị mạng SNMP
Giao thức quản trị mạng SNMP (viết tắt từ tiếng Anh: Simple Network
Management Protocol) đã được đưa ra từ những năm 80 của thế kỷ trước nhưng đến nay
vẫn được sử dụng rộng rãi trong lĩnh vực quản trị của các mạng TCP/IP. Mặc dù khi mới
được đưa ra, SNMP chỉ được thiết kế như một giải pháp tạm thời để quản trị mạng TCP/IP

nhưng do TCP/IP đã quá phổ biến và thành chuẩn giao tiếp de-factor của thế giới, SNMP
cũng trở thành một chuẩn đóng vai trò cực kỳ quan trọng trong việc thiết kế các phần mềm
quản trị mạng của các thiết bị cung cấp dịch vụ.
Giao thức SNMP được thiết kế để cung cấp một phương thức đơn giản để quản lý
tập trung mạng TCP/IP. Nếu muốn quản lý các thiết bị từ 1 vị trí tập trung, giao thức
SNMP sẽ vận chuyển dữ liệu từ client (thiết bị mà đang giám sát) đến server nơi
mà dữ liệu được lưu trong log file nhằm phân tích dễ dàng hơn. Các phần mềm ứng
dụng dựa trên giao thức SNMP như: MOM của Microsft và HP Openview vv…
Giao thức TCP/IP trên nền Ethernet hết sức thông dụng trên thị trường
truyền thông hiện nay. Sự thành công của các công nghệ trên nền Ethernet một phần
là do sự hợp tác rất tích cực trong quá trình phát triển các chuẩn chung. Sự thành công này
cũng sẽ tạo ra những sức mạnh mới trên những cơ sở hạ tầng sẵn có như hệ thống cáp,
kiến trúc mạng, khuôn dạng gói tin và các trình điều khiển vốn đã được cài đặt trong các
mạng Ethernet hiện có.

Quản lý mạng là nhiệm vụ đầy thử thách, quy mô mạng càng lớn càng phức tạp.
Hiện nay, hầu hết phần tử mạng có các module quản lý riêng nên việc quản lý bị phân tán.
Xu hướng tương lai là tập trung hóa hệ thống quản lý mạng bằng việc tích hợp tất cả phần
tử mạng trong một cơ sở dữ liệu tập trung và chia sẻ cho nhiều người quản trị mạng.
Một hệ thống sử dụng SNMP bao gồm 2 thành phần chính:
Manager: Là một máy tính chạy chương trình quản lý mạng. Manager còn được gọi
Trang 14


là một NMS (Network Management Station). Nhiệm vụ của một manager là truy vấn các
agent và xử lý thông tin nhận được từ agent.
Agent: Là một chương trình chạy trên thiết bị mạng cần được quản lý. Agent có thể
là một chương trình riêng biệt (ví dụ như daemon trên Unix) hay được tích hợp vào hệ
điều hành, ví dụ như IOS (Internetwork Operation System) của Cisco. Nhiệm vụ của agent
là thông tin cho manager.

SNMP sử dụng UDP (User Datagram Protocol) như là giao thức truyền tải thông
tin giữa các manager và agent. Việc sử dụng UDP, thay vì TCP, bởi vì UDP là phương
thức truyền mà trong đó hai đầu thông tin không cần thiết lập kết nối trứơc khi dữ liệu
được trao đổi (connectionless), thuộc tính này phù hợp trong điều kiện mạng gặp trục trặc,
hư hỏng v.v.
SNMP có các phương thức quản lý nhất định và các phương thức này được định
dạng bởi các gói tin PDU (Protocol Data Unit). Các manager và agent sử dụng PDU để
trao đổi với nhau.
1.2.2 Quản trị mạng dƣa trên Web
Ngày nay, hầu hết các thiết bị đều có kết nối internet, trình duyệt web ngày càng
phổ biến với chuẩn HTML hay xHTML đã làm cho việc truy cập các trang thông tin đơn
giản và nhanh hơn nhiều.
Với những phần mềm chạy trên desktop ( phải cài đặt) làm cho người quản trị phải
có nhiều thao tác để cài đạt và không linh hoạt trong quá trình sử dụng ở nhiều nền tảng
khác nhau như windows, unix… và nhiều vị trí khác nhau – gia đình văn phòng, quán
café, nhiều thiết bị khác nhau- desktop, laptop, tablets, PDA…
Việc quản trị mạng dựa trên nền tảng web đã mang lại cho người quản trị một
không gian làm việc thoải mái hơn, tiện dụng hơn khi mà họ có thể sử dụng bất kỳ thiết bị
Trang 15


nào có kết nối mạng và sử dụng các trình duyệt web thông dụng như IE, Firefox, chrome,
Safari… để truy cập hệ thống và quản trị với các chức năng cài đặt sẵn.
Với lợi thế lớn như vậy, các hệ quản trị mạng có xu hướng chuyển qua quản trị trên
nền tảng web để phù hợp hơn với yêu cầu từ phía người dùng và cũng là xu thế phát triển
tất yếu của nền tảng internet.
1.2.3 Một số kiến trúc quản trị mạng khác (QTM dựa trên XML)
a) XML là gì?
XML (eXtensible Markup Language ) - Ngôn ngữ đánh dấu mở rộng, là một
ngôn ngữ siêu đánh dấu, được chuẩn hóa bởi Hiệp hội World Wide Web (W3C) vào năm

1998 nhằm trao đổi tài liệu trên World-Wide Web. XML là một tập con của ngôn ngữ
đánh dấu chung chuẩn (SGML - Standard eneralized Markup Language). Các công nghệ
liên quan đến XML được mô tả trong hình 1.1

Hình 1.1: Các công nghệ XML
XML có hai phương pháp cơ bản để xác định cấu trúc tài liệu XML: Định
nghĩa kiểu tài liệu (DTD) và Lược đồ XML (XML Schema).
DTD được dùng để chỉ ra mô hình nội dung cho mỗi thành tố. Tuy nhiên, các
Trang 16


DTD không hỗ trợ mô hình thông tin phức tạp.
XML Schema về cơ bản được tái cấu trúc và tái mở rộng từ những khả năng được
tìm thấy trong các DTD, hỗ trợ sự tạo thành các kiểu dữ liệu mới.
DOM - Mô hình đối tƣợng tài liệu: là một một giao diện lập trình để truy cập và
thao tác các tài liệu XML.
SAX - Giao diện lập trình ứng dụng chung dành cho XML là một cơ chế hướng
sự kiện và truy cập liên tiếp dành cho việc truy cập các tài liệu XML.
XSL - Ngôn ngữ định kiểu mở rộng là một ngôn ngữ đánh dấu được thiết kế để
minh họa các phương pháp hiển thị các tài liệu XML trên web.
XSLT - Ngôn ngữ định kiểu chuyển đổi mở rộng: là công nghệ định kiểu để
chuyển đổi các tài liệu XML, một tập con của công nghệ XSL.
XPath - Ngôn ngữ đƣờng dẫn XML: là ngôn ngữ phi XML được dùng để ghi địa
chỉ các phần của một tài liệu XML.
XQuery - Ngôn ngữ truy vấn XML: được thiết kế để áp dụng một cách rộng rãi
cho tất cả các nguồn dữ liệu XML.
XUpdate là một ngôn ngữ cập nhật, cung cấp các tiện tích cập nhật linh hoạt và
có tính mở để chèn, cập nhật, và xóa dữ liệu trong các tài liệu XML.
SOAP - Giao thức truy cập đối tƣợng đơn giản: là một giao thức đơn giản giúp
trao đổi thong tin trong môi trường phân tán. SOAP định nghĩa việc sử dụng XML và

HTTP hoặc SMTP để truy cập các dịch vụ, đối tượng, trong các máy chủ độc lập về hệ
điều hành và ngôn ngữ.
WSDL - Ngôn ngữ mô tả dịch vụ web: là một ngôn ngữ dựa trên XML được dùng
để xác định các dịch vụ Web và mô tả cách truy cập đến các dịch vụ đó.
b) Các kỹ thuật liên quan đến XML

- Sử dụng XML để trình bày dữ liệu quản lý.

- Sử dụng HTTP để truyền dữ liệu quản trị.

- Sử dụng API DOM và SAX để truy cập dữ liệu quản trị từ ứng dụng.

- Sử dụng XSL để xử lý dữ liệu quản trị.

- Sử dụng XML Schema để định nghĩa cấu trúc dữ liệu quản trị.
Trang 17


+ Ứng dụng các công nghệ XML đối với các nhiệm vụ quản trị mạng
Các nhiệm vụ quản trị cơ bản trong một hệ quản trị mạng được mô tả như hình 1.2.



Hình 1.2: Các nhiệm vụ cơ bản trong hệ quản trị mạng

- Mô hình hóa thông tin quản trị

Các XML Schema được sử dụng để tối đa hóa những lợi thế quan trọng của XML
trong mô hình thông tin quản trị so với các giải pháp thay thế khác.
- Hợp thức hóa thông tin quản trị


Nhiệm vụ của việc hợp thức hóa thông tin quản trị bao gồm tất cả các hoạt động
đảm bảo tính nhất quán giữa các đối tượng và nguồn tài nguyên quản trị trong một hệ
thống agent. Các hoạt động cập nhật từ trạng thái tài nguyên quản trị đến các biến của các
đối tượng quản trị phải được thực thi khi trạng thái tài nguyên quản trị bị thay đổi.

Hợp thức hóa thông tin quản trị có thể được coi như là một nhóm các tiến trình
biên dịch, tạo và sửa đổi các tài liệu XML. Có hai công nghệ biên dịch các tài liệu XML
chuẩn gồm: DOM và SAX. Hai công nghệ này khiến việc biên dịch, tạo, và sửa đổi các
tài liệu XML trở nên dễ dàng
Giao thức quản trị

Về giao thức quản trị, quản trị mạng dựa trên XML theo mô hình chuyển giao dữ
liệu thông qua giao thức HTTP.
XPath được dùng kết hợp với XSLT để xác định các phần của một tài liệu XML
Trang 18


nhằm mục đích chuyển đổi.

Các cơ chế HTTP Get, Post, Push để thông báo và bỏ phiếu dự kiến.

- Phân tích

Hỗ trợ cơ sở dữ liệu (DB) của bên thứ ba

Sử dụng công nghệ XML chuẩn (DOM, Xpath

) đ ể xử lý phân tích dữ liệu
Có thể thực hiện các hoạt động quản trị bằng cách xử lý các tài liệu XML thông qua

giao diện DOM chuẩn.
- Trình bày

XML tách biệt các nội dung của tài liệu từ cách thể hiện
XSLT chuyển đổi XML sang HTML hoặc tài liệu XML khác
Nếu thông tin quản trị ở định dạng XML, một Web-MUI có thể dễ dàng suy diễn từ
các tài liệu XML
c) Một số nghiên cứu về phƣơng pháp quản trị mạng dựa trên XML
Quản trị doanh nghiệp dựa trên web (WBEM- Web-Based Enterprise
Management ) là một sáng kiến của DMTF, bao gồm một tập hợp các công nghệ cho
phép quản lý tương thích một doanh nghiệp. WBEM định nghĩa một mô hình thông tin
gọi là Mô hình thông tin chung (CIM)
XNM - Quản trị mạng dựa trên XML: Quản trị mạng dựa trên XML (XNM)
bằng cách sử dụng dịch vụ Web nhúng (EWS).
XNAMI: Là kiến trúc dựa trên XML dành cho quản trị mạng và các ứng dụng
SNMP. Đây là một ví dụ về kiến trúc truyền thông quản trị dựa trên XML cho phép hệ
manager mở rộng MIB của agent trong khung tương tác SNMP.

JUNOScript: Là hệ thống điều hành mạng JUNOS của Juniper Networks, sử
Trang 19


dụng một mô hình đơn giản được thiết kế để giảm thiểu cả chi phí thực hiện và tác động
trên các thiết bị được quản lý, cho phép các ứng dụng khách truy cập đến các dữ liệu hoạt
động và cấu hình bằng cách sử dụng XML-RPC.
Trạm đăng ký cấu hình Cisco là một hệ thống dựa trên web giúp phân tán một
cách tự động các tệp tin cấu hình đến các thiết bị mạng IOS của Cisco. Nó sử dụng giao
thức HTTP để giao tiếp với các agent và chuyển dữ liệu cấu hình sang XML. Các
agent cấu hình trong thiết bị sử dụng XML parser riêng của nó để giải thích các dữ liệu
cấu hình từ các tệp tin cấu hình nhận được.

Nhóm làm việc Cấu hình mạng (Netconf WG) định nghĩa giao thức cấu hình
Netconf và chuyển các ánh xạ. Giao thức Netconf sử dụng XML để mã hóa dữ liệu, và
RPC cho cơ chế truyền thông.

d) Các mô hình quản trị

Hình 1.3 cho thấy bốn mô hình có thể kết hợp giữa các manager và agent có triển
vọng trong quản trị mạng tích hợp dựa trên XML.



Hình 1. 3: Các phối hợp giữa manager và agent

Trang 20


1.3 Vấn đề đảm bảo an ninh cho thông điệp truyền trên Internet
1.3.1 Các đe doạ đối với các thông điệp truyền trên mạng.
Sự phát triển mạnh mẽ của nền tảng internet với các công cụ làm việc, truyền tải
nhanh, tức thì và đơn giản, các nội dung thông điệp ngày càng được truyền tải trên mạng
nhiêu hơn, kể cả các lĩnh vực nhạy cảm như tài chính, quân sự…
Bên cạnh sự thuận tiện và nhanh chóng như trên, phương thức tuyền tải các thông
điệp trên mạng cũng chứa đựng nhiều rủi ro mà tin tặc lợi dụng để làm sai lệch thông tin
giữ người gửi và người nhận.
Để xem xét những vấn đề bảo mật liên quan đến truyền thông trên mạng, chúng ta
hãy lấy một bối cảnh sau: có ba nhân vật tên là A, B và C, trong đó A và B thực hiện trao
đổi thông tin với nhau, còn C là kẻ xấu, đặt thiết bị can thiệp vào kênh truyền tin giữa A
và B. Sau đây là các loại hành động tấn công của C mà ảnh hưởng đến quá trình truyền tin
giữa A và B:
+ Xem trộm thông tin (Release of Message Content)

Trong trường hợp này C chặn các thông điệp A gửi cho B, và xem được nội dung
của thông điệp.

Hình 1.4. Xem trộm thông điệp

Trang 21


+ Thay đổi thông điệp (Modification of Message)
C chặn các thông điệp A gửi cho B và ngăn không cho các thông điệp này đến
đích. Sau đó C thay đổi nội dung của thông điệp và gửi tiếp cho B. B nghĩ rằng nhận
được thông điệp nguyên bản ban đầu của A mà không biết rằng chúng đã bị sửa đổi.

Hình 1.5. Sửa thông điệp
+ Mạo danh (Masquerade)

Trong trường hợp này C giả là A gửi thông điệp cho B. B không biết
điều này
và nghĩ rằng thông điệp là của A.


Hình 1.6. Mạo danh

Trang 22


+Phát lại thông điệp (Replay)

C sao chép lại thông điệp A gửi cho B. Sau đó một thời gian C gửi bản sao
chép này cho B. B tin rằng thông điệp thứ hai vẫn là từ A, nội dung hai thông điệp là

giống nhau. Thoạt đầu có thể nghĩ rằng việc phát lại này là vô hại, tuy nhiên trong
nhiều trường hợp cũng gây ra tác hại không kém so với việc giả mạo thông điệp. Xét
tình huống sau: giả sử B là ngân hàng còn A là một khách hàng. A gửi thông điệp đề
nghị B chuyển cho C 1000$. A có áp dụng các biện pháp như chữ ký điện tử với mục
đích không cho C mạo danh cũng như sửa thông điệp. Tuy nhiên nếu C sao chép và
phát lại thông điệp thì các biện pháp bảo vệ này không có ý nghĩa. B tin rằng A gửi
tiếp một thông điệp mới để chuyển thêm cho C 1000$ nữa.

Hình 1.7. Phát lại thông điệp

1.3.2 Một số giải pháp bảo đảm an ninh cho thông điệp truyền trên
mạng.
a) Yêu c

u c

a m

t h

truy

n thông tin an toàn và b

o m

t
Phần trên đã trình bày các hình thức tấn công, một hệ truyền tin được gọi là an
toàn và bảo mật thì phải có khả năng chống lại được các hình thức tấn công trên. Như
vậy hệ truyền tin phải có các đặt tính sau:


1) Tính bảo mật (Confidentiality): Ngăn chặn được vấn đề xem trộm thông điệp.
2) Tính chứng thực (Authentication): Nhằm đảm bảo cho B rằng thông điệp mà
Trang 23


B nhận được thực sự được gửi đi từ A, và không bị thay đổi trong quá trình truyền
tin. Như vậy tính chứng thực ngăn chặn các hình thức tấn công sửa thông điệp,
mạo danh, và phát lại thông điệp.
3) Tính không từ chối (Nonrepudiation): xét tình huống sau:

Giả sử B là nhân viên môi giới chứng khoán của A. A gởi thông điệp yêu cầu B
mua cổ phiếu của công ty Z. Ngày hôm sau, giá cổ phiếu công ty này giảm hơn 50%.
Thấy bị thiệt hại, A nói rằng A không gửi thông điệp nào cả và quy trách nhiệm cho B.
B phải có cơ chế để xác định rằng chính A là người gởi mà A không thể từ chối trách
nhiệm được.
Khái niệm chữ ký trên giấy mà con người đang sử dụng ngày nay là một cơ chế
để bảo đảm tính chứng thực và tính không từ chối. Và trong lĩnh vực máy tính, người ta
cũng thiết lập một cơ chế như vậy, cơ chế này được gọi là chữ ký điện tử.

Hình 1.8. Mô hình bảo mật truyền thông tin trên mạng

b) Vai trò c

a m

t mã trong vi

c b


o m

t thông tin trên m

ng
Mật mã hay mã hóa dữ liệu (cryptography), là một công cụ cơ bản thiết yếu của
bảo mật thông tin. Mật mã đáp ứng được các nhu cầu về tính bảo mật (confidentiality),
tính chứng thực (authentication) và tính không từ chối (non-repudiation) của một hệ truyền
tin.
Trang 24


Muốn bảo vệ được thông điệp của mình trong quá trình truyền tải trên mạng chúng
ta phải sử dụng một số dạng mã hóa để trên đường truyền tải cho dù bên thứ ba có lấy
được cũng khó khăn trong quá trình tiếp cận thông tin ta chỉ muốn gửi đích danh cho ai
đó.
Ngoài công cụ mã hóa dữ liệu, ta còn sử dụng chức năng chữ ký điện tử ( ở một số
thông điệp) để nâng cao tính bảo mật và tính đúng đắn của thông điệp.
c) Sử dụng các giao thức (protocol) thực hiện bảo mật.
Ngoài các yêu cầu như hệ truyền tin an toàn, mã hóa, chữ ký điện tử ta cũng nên sử
dụng các giao thức truyền bảo mật phổ biến hiện nay là:
- Keberos: là giao thức dùng để chứng thực dựa trên mã hóa đối xứng.
- Chuẩn chứng thực X509: dùng trong mã hóa khóa công khai.
- Secure Socket Layer (SSL): là giao thức bảo mật Web, được sử dụng phổ biến
trong Web và thương mại điện tử.
- PGP và S/MIME: bảo mật thư điện tử email.
Như vậy muốn bảo đảm an ninh cho thông điệp truyền trên mạng ngoài việc chúng ta có
một hệ thống phần cứng tiêu chuẩn, hệ thống phần mền dịch vụ triển khai trên đó an toàn,
phân quyền người dùng thì chúng ta phải tuân thủ một số chính sách an toàn thông tin như
trên để đảm bảo thông tin của chúng ta ít có khả năng xâm phạm nhất. ./.

Trang 25


Tóm tắt chƣơng.
Ở chương 1 chúng ta đã làm rõ các khái niệm mà quản trị mạng phải thực hiện như
quản trị tài nguyên, quản trị hệ thống phần cứng, cấu hình cài đặt, phân quyền chức năng
người sử dụng, hiệu suất công việc vv. Ngoài ra chúng ta còn nghiên cứu các kiến trúc cơ
bản về quản trị mạng, các mô hình an toàn thông tin trên internet.
Như vậy, để một hệ thống mạng được hoạt động tốt, ngoài các kiến thức mà nhà
quản trị phải có thì chúng ta phải luôn tìm hiểu các công nghệ quản trị mới, hay những
phiên bản phát triển mới để cập nhật vào hệ thống nhằm tăng khả năng phòng vệ trước các
cuộc tấn công từ mạng internet vào hệ thống cũng như chính những cá nhân sử dụng gây
ra.
Trong chương tiếp theo của đề tài này, chúng ta tiếp tục nghiên cứu một phiên bản
quản trị mạng SNMP có phiên bản 3 (verison 3) hay có thể viết tắt là SNMPv3, đây là một
nội dung khá quan trọng trong việc ứng dụng để nâng cao bảo mật cho hệ thống mạng,
qua đó chúng ta sẽ dần nghiên cứu và phân tích những đặc điểm cơ bản, những ưu điểm
mà SNMPv3 có được so với các phiên bản thấp hơn, từ đó ta có thể ứng dụng một hệ mã
nguồn mở để quản trị SNMP theo v3 và thấy được khả năng bảo vệ hệ thống của SNMP3.

×